Datoteke enkriptirane od strane Bad Rabbita mogu se vratiti, kažu istraživači

Žrtve Bad Rabbit ransomwarea možda imaju šanse vratiti svoje datoteke

Dobre vijesti za sve žrtve Bad Rabbit ransomwarea – tehnička analiza Bad Rabbit ransomwarea koju je proveo Kaspersky otkriva da malware sadrži nekoliko rupa koje dopuštaju žrtvama da besplatno vrate svoje datoteke.

Na prvi pogled, činilo da je ažurirana verzija NotPetya unaprijeđeni virus za enkripciju podataka koji kombinira AES-128-CBC i RSA-2048 algoritme, no dublja analiza otkrila je da njegov izvorni kod zapravo sadrži nekoliko pogrešaka.

Čini se da ransomware koji je prvo napao ruske i ukrajinske korisnike računala 24. listopada sadrži nekoliko greški u svom kodu – ne sadržava funkciju za brisanje Volume Shadow kopija, koje se mogu koristiti za vraćanje datoteka oštećenih od strane zlonamjernih programa.

Međutim, povratak podataka je moguć pod jednim uvjetom. Virus ne smije izvršiti enkripciju do kraja. To znači da ga se mora prekinuti kako ne bi do kraja izvršio sve zadatke.

Bad Rabbit, za razliku od NotPetya, ne briše datoteke

Pošto su istraživači malwarea pronašli poveznice između NotPetya (također poznat kao ExPetr) i Bad Rabbita, također su objasnili i razlike između ta dva virusa. Sudeći prema stručnjacima, novi ransomware je unaprijeđena verzija Petya virusa koji je uznemirio virualnu zajednicu u lipnju 2017. Virus koji je korišten u kibernetičkom napadu 27. srpnja briše datoteke, dok ih Bad Rabbit samo enkriptira.

Izgleda da je izvorni kod DiskCoder.D (Bad Rabbita) izgrađen sa ciljem da ima pristup dektipcijskim lozinkama korištenima za oštećivanje diska.

Nakon šifriranja žrtvinih datoteka, ransomware mijenja Master Boot Record i ponovo pokreće računalu prikazivajući poruku s “osobnim instalacijskim ključem#1” na ekranu. Ovaj ključ je šifriran koristeći RSA-2048 i base64-encrypted binarnu strukturu. Ta struktura sadrži određene tipove informacija o žrtvinom računalu.

Međutim, ID nije AES ključ korišten za enkriptiranje datoteka na disku i funkcionira samo kao identifikator za oštećeno računalo.

Istraživači iz Kaspersky-a tvrde da su uspjeli izvući lozinke kreirane od strane malwarea tijekom debugginga te da su ih unijeli ispod “osobnog instalacijskog ključa#1”. Lozinke otključavaju sustav i dopuštaju mu da se pokrene. Međutim, datoteke enkriptirane u žrtvinim datotekama nisu dosegnute.

Kako biste ih dekriptirali, potreban je jedinstven RSA-2048 ključ. Potrebno je reći da se enkripcijski ključevi izrađuju zasebno, što ih čini nemogućim za pogoditi.

Osim toga, stručnjaci su otkrili grešku u procesu dispci.exe kojeg virus koristi. Čini se da virus ne briše generirane lozinke iz memorije, stoga je vraćanje istih prije nego što proces završi moguće. Nažalost, ovo i nije baš moguće u stvarnim situacijama pošto žrtve nastoju nekoliko puta ponovo pokrenuti svoje računalo.

Prevencija je najbolji pristup za kontroliranje sigurnosti podataka

Stručnjaci za kibernetičku sigurnost tvrde da ovi pronalasci daju male šanse za vraćanje enktiptiranih datoteka. Također upozoravaju da je bilo koji oblik ransomwarea vrlo opasan i da je jedini način da zaštitite svoje podatke zaštita od takvih virusa. Stoga je naš tim pripremio kratki vodič o tome kako štititi sustav od Bad Rabbita i sličnih ransowmare napada:

• Instalacija pouzdanog i ažurnog sigurnosnog softvera;
• Izrada backupa datoteka;
• Uzmite u obzir i izradu svog “cjepiva” za Bad Rabbit ransomware;
• Izbjegavajte klikanje na lažne pop-up prozore koji traže instalaciju ažuriranja softvera. Kao što već vjerojatno znate, opisani virus je inficirao tisuće žrtava prikazivajući lažna Adobe Flash Player ažuriranja preko zaraženih web stranica. Zapamtite da se možete oslanjati jedino na ažuriranja softvera koja pruža službeni kreator softvera!