Според изследователите файловете криптирани от Bad Rabbit могат да бъдат възстановени

Жетвите на рансъмуера Bad Rabbit могат да получат възможност за възстановяване на информацията си

Добри новини за всички жертви на рансъмуера Bad Rabbit – анализаторите на рансъмуера Bad Rabbit от Kaspersky разкриват, че зловредният софтуер има няколко пропуска, които позволяват на жертвите да възстановят файловете си безплатно.

Първоначално изглежда, че обновеният вариант на NotPetya е сложен криптиращ вирус, който комбинира AES-128-CBC и RSA-2048 шифри, но по-задълбочени изследвания разкриват, че програмният му код всъщност съдържа няколко грешки. 

Изглежда, че печално известният рансъмуер, който първо удря руските и украински компютърни потребители на 24 октомври, има пропуск в програмния си код – не съдържа функция за изтриване на Моментните снимки на томове (Volume Shadow Copies), което може да се използва за възстановяване на файловете, повредени от зловредната програма.

И все пак, възстановяването на информацията е възможно при едно условие. Трябва да не успее с пълното криптиране на твърдия диск. Това означава, че вирусът трябва да бъде прекъснат, за да не успее да извърши правилно задачите си. 

Bad Rabbit, за разлика от NotPetya, не е “чистач” (wiper)

Тъй като изследователите на зловреден софтуер вече са открили връзка между NotPetya (известен още като ExPetr) и Bad Rabbit,, те акцентират върху разликите между тези два вируса. Според специалистите, новият рансъмуер е подобрен вариант на вируса Petya, който разтърси виртуалната общественост през юни 2017. Вирусът използван в атаката от 27 юни се оказва чистач (wiper), докато Bad Rabbit функционира като криптиращ рансъмуер вирус. 

Оказва се, че програмният код на DiskCoder.D (Bad Rabbit) е съставен с намерението да се получи достъп до декриптиращата парола, използвана за повреждането на диска. 

След кодиране на файловете на жертвата, рансъмуерът променя Master Boot Record (главният зареждаш запис) и рестартира компютъра, за да покаже съобщение за откуп с “личен инсталационен ключ #1” на екрана. Този ключ е кодиран с помощта на RSA-2048 и base64-криптирана бинарна структура. Тази структура съдържа различни видове информация за компютъра на жертвата.

И все пак, идентификационният номер (ID) не е AES ключът, използван за криптирането на информацията на диска, а служи единствено за идентификатор на различните засегнати компютри.

Изследователите от Kaspersky твърдят, че са извлекли паролата, създадена от малуера по време на отстраняване на грешки и я въвели под “личен инсталационен ключ #1.” Паролата отключва системата и и позволява да стартира. Но все пак, криптираните файлове в папките на жертвата остават недостъпни. 

За да ги декриптирате е необходим уникален RSA-2048 ключ. Трябва да кажем, че симетричните криптиращи ключове са създадени отделно, което прави отгатването им невъзможно. Опитите с груба сила да ги получите може да отнемат векове.  

Освен това, специалистите откриват грешка в процеса dispci.exe, използван от вируса. Изглежда, че вирусът не изтрива генерираната парола от паметта, така че възстановяването и преди завършването на процеса е напълно възможно. За съжаление това е почти невъзможно в реални условия, тъй като жертвите обикновено рестартират компютрите си по няколко пъти.  

Превенцията е най-добрият начин да управлявате сигурността на данните си

Специалистите по кибер сигурност съобщават, че тези открития дават много малка вероятност за възстановяване на криптираната информация. Също така, те предупреждават, че всички видове рансъмуер вируси са изключително опасни и единствения начин да възстановите данните си, е да се опитате да държите подобни вируси далеч от вас. Затова нашият екип е подготвил кратко ръководство как да защитите системата си от Bad Rabbit и подобни рансъмуер атаки:

• Инсталирайте надежден софтуер за сигурност и го актуализирайте своевременно;
• Архивирайте данните си;
• Обмислете как да си направите собствена “ваксина” за рансъмуера Bad Rabbit;
• Избягвайте да отваряте фалшиви изскачащи прозорци, които искат от вас да инсталирате софтуерни актуализации. Както може би знаете, описаният вирус е заразил хиляди жертви чрез фалшиви обновления за Adobe Flash Player от компрометирани уеб страници. Не забавяйте, че може да разчитате единствено на софтуерни актуализации, предоставени от официалния издател на софтуера!