Cercetătorii spun că fişierele criptate de Bad Rabbit pot fi recuperate

Victimele ransomware-ului Bad Rabbit pot avea o şansă de a-şi recupera datele

Veşti bune pentru toate victimele ransomware-ului Bad Rabbit – analiza tehnică a ransomware-ului Bad Rabbit efectuată de cei de la Kaspersky a dezvăluit că malware-ul are mai multe greşeli care permit victimelor să recupereze gratuit fişierele.

La început, se credea că varianta actualizată a lui NotPetya este un virus de criptare fişiere sofisticat care combina cifrii AES-128 şi RSA-2048, însă alte analize au dezvăluit că codul sursă, de fapt, conţine greşeli.

Se pare că acest ransomware notoriu, care a lovit mai întâi utilizatorii din Rusia şi Ucraina pe 24 octombrie, are o greşeală în codul sursă – nu conţine o funcţie de a şterge Volume Shadow Copies, care pot fi utilizate pentru a restaura fişierele avariate de programele maliţioase.

Totuşi, recuperarea datelor este posibilă cu o singură condiţie. Trebuie să nu reuşească criptarea completă a disk-ului. Înseamnă că virusul trebuie întrerupt ca să nu poată să finalizeze corect toate sarcinile.

Bad Rabbit, spre deosebire de NotPetya, nu este un ştergător

Din moment ce analiştii au descoperit deja legături între NotPetya (cunoscut şi ca ExPetr) şi Bad Rabbit , aceştia au accentuat şi diferenţele dintre aceşti doi viruşi. Conform experţilor, noul ransomware este o variantă îmbunătăţită a virusului Petya care a şocat comunitatea virtuală în iunie, 2017. Virusul folosit pe 27 iunie în atacul cibernetic, s-a dovedit a fi un ştergător, pe când Bad Rabbit funcţionează ca şi un ransomware de criptare fişiere.

Se pare că codul sursă a lui DiskCoder.D (Bad Rabbit) este construit cu intenţia de a accesa decriptarea parolei utilizată pentru coruperea disk-ului.

După criptarea fişierelor victimei, ransomware-ul modifică Master Boot Record şi reporneşte calculatorul pentru a afişa o notă de recompensă cu o „cheie #1 personală de decriptare”, pe ecran. Această cheie este decodată cu structura binară de criptare RSA-2048 şi base64. Această structură conţine anumite tipuri de informaţii despre calculatorul victimei.

Cu toate acestea, ID-ul nu este cheia AES folosită pentru a cripta datele de pe disk şi funcţionează ca şi un identificator pentru diferite PC-uri compromise.

Cercetătorii de la Kaspersky spun că au extras parola creată de malware pe parcursul procesului de debugging, şi au introdus-o sub „cheia #1 personală de instalare”. Parola a deblocat sistemul şi i-a permis pornirea. Cu toate acestea, fişierele criptate în dosarele victimelor nu au putut fi accesate.

Pentru a le decripta, este necesară o cheie unică RSA-2048. Trebuie spus că cheile simetrice de criptare sunt create separat, făcând imposibilă descifrarea lor. Încercările de forţare ar dura foarte mult.

În plus, experţii au descoperit o greşeală în procesul dispci.exe utilizat de virus. Se pare că virusul nu şterge din memorie parola generată, deci este posibil să o recuperaţi înainte de terminarea procesului. Din nefericire, acest lucru cu greu este posibil în situaţii reale deoarece victimele au tendinţa de a-şi restarta calculatoarele de câteva ori.

Prevenirea este cea mai bună abordare pentru a vă controla securitatea datelor

Experţii din securitate spun că aceste descoperiri oferă doar o şansă mică de a recupera fişierele criptate. De asemenea, ei spun că orice tip de ransomware este extrem de periculos şi că singurul mod prin care puteţi păstra securizate datele, este prin menţinerea la distanţă a viruşilor. Prin urmare, echipa noastră a pregătit un un scurt cum-să vă păstraţi sistemul protejat contra lui Bad Rabbit sau altor atacuri ransomware similare:

• Instalaţi un software de securitate demn de încredere şi instalaţi-i la timp actualizările;
• Creaţi copii de rezervă ale datelor;
• Luaţi în considerare crearea propriului „vaccin” pentru ransomware-ul Bad Rabbit;
• Evitaţi apăsarea pe popup-uri false, ce vă îndeamnă să instalaţi actualizări de software. După cum probabil ştiţi, virusul descris infectează mii de victime împingând actualizări false pentru Adobe Flash Player prin intermediul website-urilor compromise. Reţineţi că vă puteţi baza doar pe actualizări de software ce vin de la dezvoltatorul oficial al programului!