Файлы зашифрованные Bad Rabbit могут быть восстановлены, говорят исследователи

от Olivia Morelli - -

Жертвы Bad Rabbit вымогателя имеют шанс восстановить свои данные

Victims of Bad Rabbit ransomware have a slight chance of recovering files for free

Хорошие новости для всех жертв Bad Rabbit вымогателя — технический анализ Bad Rabbit вымогателя от Kaspersky показал, что у вредоносного ПО есть несколько недостатков, позволяющих жертвам бесплатно восстановить свои файлы.

Поначалу казалось, что обновленный вариант NotPetya — это полированный вирус, шифрующий данные, который объединяет AES-128-CBC и RSA-2048 шифры, но дальнейший анализ показал, что его исходный код на самом деле содержит несколько ошибок.

Похоже, что печально известный вымогатель, который впервые поразил российских и украинских пользователей 24 октября, имел недостаток в своем исходном коде — в нем не было функции для удаления тоновых копий томов, которые могут быть использованы для восстановления поврежденных вредоносными программами файлов.

Однако восстановление данных возможно с одним условием. Он не должен выполнить полное шифрование диска. Это означает, что вирус должен быть прерван в выполнении всех задач правильно.

Bad Rabbit, в отличие от NotPetya, не является очистителем

Поскольку аналитики вредоносных программ уже нашли связь между NotPetya (также известными как ExPetr) и Bad Rabbit,, они также акцентировали различия между этими двумя вирусами. По мнению экспертов, новый вымогатель — это улучшенный вариант вируса Petya, который потряс виртуальное сообщество в июне 2017 года. Вирус, используемый в кибер-атаке 27 июня, оказался очистителем, в то время как Bad Rabbit функционирует как вымогатель, шифрующий данные.

Оказывается, исходный код DiskCoder.D (Bad Rabbit) построен с намерением получить доступ к паролю дешифрования, используемому для повреждения диска.

После шифрования файлов жертвы, вымогатель меняет главную загрузочную запись и перезапускает компьютер, чтобы отобразить заметку с выкупом с “персональный ключ установки #1” на экране. Этот ключ шифрует с использованием двоичной структуры RSA-2048 и base64. Эта структура содержит определенные типы информации о компьютере жертвы.

Однако идентификатор не является ключом AES, который используется для шифрования данных на диске и работает только как идентификатор для разных компрометацией ПК.

Исследователи Kaspersky заявили, что они извлекли пароль, созданный вредоносным ПО во время сеанса отладки, и ввели его под “персональный ключ установки #1.” Пароль открыл систему и разрешил ее запуск. Однако файлы, зашифрованные в папках жертвы, остались недоступными.

Для их расшифровки требуется уникальный ключ RSA-2048. Следует сказать, что симметричные ключи шифрования создаются отдельно, что делает невозможным их угадывание. Попытки взломать их тоже потребуют много времени.

Кроме того, эксперты обнаружили ошибку в процессе dispci.exe, используемом вирусом. Похоже, что вирус не удаляет сгенерированный пароль из памяти, поэтому восстановление его до завершения процесса само по себе возможно. К сожалению, это вряд ли возможно в реальных ситуациях, потому что жертвы часто перезагружают свои компьютеры несколько раз.

Предотвращение это наилучший способ контролировать безопасность данных 

Эксперты по кибербезопасности говорят, что эти находки дают лишь маленький шанс на восстановление зашифрованных файлов. Кроме того, они предупреждают, что любой тип вымогателя чрезвычайно опасен, и единственный способ защитить ваши данные — попытаться изо всех сил держаться подальше от таких вирусов. Поэтому наша команда подготовила краткое руководство по защите вашей системы от Bad Rabbit или аналогичной вымогательской атаки:

  • Установите надежное программное обеспечение безопасности и своевременно обновляйте его;
  • Создавайте резервные копии данных;
  • Подумайте о создании своей собственной “вакцины” от Bad Rabbit вымогателя;
  • Не нажимайте на поддельные всплывающие окна, которые говорят, что вы должны установить обновления программного обеспечения. Как вы, наверное, знаете, описанный вирус заразил тысячи жертв, нажавших на поддельные обновления Adobe Flash Player через скомпрометированные веб-сайты. Помните, что вы можете полагаться только на обновления программного обеспечения, предоставляемые официальным разработчиком программного обеспечения!

О авторе

Olivia Morelli
Olivia Morelli

Аналитик по вредоносным программа...

Источник: https://www.2-spyware.com/files-encrypted-by-bad-rabbit-can-be-recovered-researchers-say

Читать на других языках


Файлы
Программы
Сравнить
Нравится, мы в Facebook’e