Baacze twierdzą, że pliki zaszyfrowane przez Bad Rabbit mogą być odzyskane

Ofiary wirusa ransomware Bad Rabbit mogą mieć szansę na odzyskanie ich danych

Dobre wieści dla wszystkich ofiar ransomware'a Bad Rabbit – analiza techniczna ransomware'a Bad Rabbit od specalistów Ksapersky'ego odkryła, że malware ten ma kilk luk pozwalającyh ofiarom na darmowe odzyskanie plików.

Na pierwszy rzut oka wygląda, jakby ta zaktualizowana ofiara NotPetyi była rozbudowanym wirusem szyfrującym dane łączącym szyfry AES-128-CBC oraz RSA-2048 – dalsza analiza jednak wykazała, że kod źródłowy wirusa aktualnie zawiera kilka błędów.

Wygląda na to, że ten niesławny ransomware, który po raz pierwszy zaatakował komputery użytkowników w Rosjji i na Ukrainia 24 października miał dziurę w swoim kodzie źródłowym – nie zawierał funkcji usuwającej ukryte wersje plików, które mogą zostać wykorzystne do przywrócenia plikóe uszkodzonych przez złośliwe programy.

Odzyskanie danych jest jednak możliwe pod jednym warunkiem – wirus nie może dokonać pełnego szyfrowania dysku. Znaczy to, że działanie wirusa musi zostać zaburzone, by ten nie mógł wykonać z powodzeniem wszystkich zadań.

Bad Rabbit, w przeciwieństwie do NotPetya, nie est wiperem

Odkąd analitycy malware już znaleźli powiązania pomiędzy NotPetyą (znanym też jako ExPetr) oraz Bad Rabbitem, zaczęli także podkreślać różnice pomiędzy tymi dwoma wirusami. Według ekspertów, nowy ransomware jest inowocześnionym wariantem wirusa Petya, który zszokował społeczność wirtualną w czerwcu 2017 roku. Wirus użyty w ataku 27 czerwca okazał się być wiperem, podczas gd bad Rabbit działa jak oprogramowanie szyfrujące dane.

Okazuje się, że kod źródłowy DiskCoder.D (Bad Rabbit) jest stworzony z intencją posiadania dostępu do hasła szyfrującego wykorzystywanego do uszkadzania dysku.

Po zaszyfrowaniu plików ofiary, ransomware zmienia Główny Rejestr Uruchamiania (Master Boot Record) i restartuje komputer, by wyświetlić żądanie okupu z „osobistym kluczem instalacyjnym #1” na ekranie. Klucz ten jest zaszyfrowany szyfrem RSA-2048 oraz strukturą binarną base64-encrypted. Struktura ta przechowuje określone rodzaje informacji o komputerze ofiary.

Jednakże identyfikator nie jesr kluczem AES używanym do szyfrowania danych n dysku i działa tylko jako identyfikator różnych zaatakowanych komputerów.

Badacze z Kaspersky'ego mówią, że wydostali hasło stworzone przez malware podczas sesji debugowania i wpisali je poniżej „osobistego klucza instalacyjnego #1”. Hasło odblokowało system i pozwoliło na jego rozruch. Jednkże pliki zaszyfrowane w folderach ofiary pozostały nietknięte.

By je odszyfrować, potrzebny jest unikalny klucz RSA-2048. Trzeba powiedzieć, że symetryczne klucze szyfrujące są tworzone oddzielne, przez co niemożliwym jest ich odgadnięcie. Próby złamania ich metodą brute-force trwałyby latami.

Poza tym, eksperci odkryli błąd w procesie dispci.exe używanym przez wirusa. Wygląda na to, że wirus nie usuwa wygenerowanego hasła z pamięci – możliwe jest więc jego odzyskanie zanim proces zakończy działanie. Niestety, jest to mało możliwe w rzeczywistych sytuacjach, gdyż ofiary zwykle resetują swoje komputery po kilka razy.

Zapobieganie najlepszym podejściem do bezpieczeństwa danych

Eksperci Cyberbezpieczeństwa mówią, że te odkrycia dają tylko małą szansę na odzyskanie zaszyfrowanych plików. Dodatkowo ostrzegają, że każdy rodzaj ransomware'a jest ekstremalnie niebezpieczny i jedynym sposobem na bezpieczeństwo danych jest dołożenie wszelkich starań na trzymanie się z dala od tych wirusów. Z tego powodu nasz zespół przygotował kilka wskazówek na temat utrzymania ochrony systemu przeciwko Bad Rabbitowi lub podobnemu atakowi ransomware:

• Zainstaluj odpowiednie oprogramowanie zabezpieczejące oraz uaktualniaj je regularnie;
• Utwórz kopię zapasową danych;
• Przemyśl stworzenie swojej własnej „szczepionki” przeciwko ransomware'owi Bad Rabbit;
• Unikaj klikania na fałszywe wyskakujące okienka domagające się instalacji aktualizacji oprogramowania. Jak zapewne wiesz, opisany wirus zainfekował tysiące ofiar forsując fałszywe uaktualnienie Adobe Flash Playera na przejętych stronach. Pamiętaj, że możesz polegać tylko na oficjalnych aktualizacjach oprogramowania dostarczonych przez jego twórców!