Pētnieki saka – ar Bad Rabbit šifrētos failus ir iespējams atgūt

Bad Rabbit izspiedējvīrusa upuriem var būt iespēja atgūt savus datus

Labas ziņas visiem Bad Rabbit izspiedējvīrusa upuriem – Kaspersky tehniskā analīze par Bad Rabbit izspiedējvīrusu atklāja, ka ļaunprātīgai programmatūrai ir vairāki trūkumi, kas ļauj upuriem atkopt savus failus bez maksas.

Sākumā likās, ka NotPetya atjauninātais variants ir uzlabots datu šifrēšanas vīruss, kas apvieno AES-128-CBC un RSA-2048 šifrus, taču turpmāka analīze atklāja, ka tā pirmkodā ir dažas kļūdas.

Izrādās, ka bēdīgi slavenajam izspiedējvīrusam, kas vispirms skāra krievu un ukraiņu datoru lietotājus 24. oktobrī, bija izejas koda trūkums – tajā nebija funkcijas, lai izdzēstu sējuma ēnkopijas, kuras var izmantot, lai atjaunotu ļaunprogrammu bojātos failus.

Tomēr datu atgūšana ir iespējama ar vienu nosacījumu. Tam nedrīkst veikt pilnu diska šifrēšana. Tas nozīmē, ka vīrusa darbība ir jāpārtrauc un tas nedrīkst pareizi pabeigt visus uzdevumus.

Bad Rabbit atšķirībā no NotPetya nav tīrītājs (wiper)

Tā kā ļaundabīgo programmu analītiķi jau ir atraduši saites starp NotPetya (pazīstams arī kā ExPetr) un Bad Rabbit , tie arī akcentēja atšķirības starp šiem diviem vīrusiem. Pēc ekspertu domām, jaunais izspiedējvīruss ir uzlabots Petya vīrusa variants, kas 2017.gada jūnijā satricināja virtuālo kopienu. Vīruss, kas tika izmantots 27. jūnija kiberuzbrukumā, izrādījās tīrītājs, bet Bad Rabbit darbojās kā datu šifrēšanas izspiedējvīruss.

Izrādās, ka DiskCoder.D (Bad Rabbit) pirmkods ir izveidots ar nodomu piekļūt atšifrēšanas parolei, ko izmanto diska uzlaušanai.

Pēc upura failu nošifrēšanas, izspiedējvīruss maina pamatpalaišanas ierakstu (MBR) un pārstartē datoru, lai uz ekrāna uzrādītu izpirkšanas paziņojumu ar “personīgo instalēšanas atslēgu # 1”. Šī atslēga ir šifrēta, izmantojot RSA-2048 un 64bāzes šifrētu bināro struktūru. Šī struktūra satur noteiktus informācijas veidus par upura datoru.

Tomēr ID nav AES atslēga, ko izmanto, lai šifrētu datus uz diska, un darbojas tikai kā identifikators dažādiem uzlauztiem datoriem.

Pētnieki no Kaspersky apgalvo, ka tie atkļūdošanas sesijas laikā ir ieguvuši ļaunprogrammatūras izveidoto paroli un ievadījuši to zem “personiskās instalēšanas atslēgas Nr. 1”. Parole atbloķēja sistēmu un ļāva tai sākt darboties. Tomēr šifrētie faili upura mapēs joprojām nebija sasniedzami.

Lai tos atšifrētu, ir nepieciešama unikāla RSA-2048 atslēga. Jāatzīst, ka simetriskās šifrēšanas atslēgas ir izveidotas atsevišķi, padarot neiespējamu tās uzminēt. Arī mēģinājumi to izdarīt ar pārlases metodi varētu aizņemt ilgu laiku.

Bez tam, eksperti atklāja kļūdu vīrusa izmantotajā disci.exe procesā. Izrādās, ka vīruss neizdzēš no atmiņas ģenerēto paroli, tāpēc ir iespējams to izgūt pirms procesa beigām. Diemžēl tas gandrīz nav iespējams reālās situācijās, jo upuri mēdz vairākas reizes atsāknēt savus datorus.

Profilakse ir labākā pieeja datu drošības kontrolei

Kiberdrošības speciālisti saka, ka šīs konstatācijas dod vien nedaudz iespēju atkopt šifrētos failus. Tāpat viņi brīdina, ka jebkura veida izspiedējvīruss ir ārkārtīgi bīstams, un vienīgais veids, kā aizsargāt jūsu datus, ir pielikt visas pūles, lai turētos tālāk no šādiem vīrusiem. Tādēļ mūsu komanda ir sagatavojusi īsu pārskatu par to, kā uzturēt jūsu sistēmu aizsargātu pret Bad Rabbit vai līdzīgu izspiedējvīrusu uzbrukumu:

  • Instalējiet uzticamu drošības programmatūru un savlaicīgi instalējiet atjauninājumus;
  • izveidojiet datu dublējumkopijas;
  • Apsveriet iespēju izveidot savu “vakcīnu ” pret Bad Rabbit izspiedējvīrusu;
  • Izvairieties klikšķināt uz viltus uznirstošajiem logiem, kas mudina instalēt programmatūru atjauninājumus. Kā jūs droši vien zināt, aprakstītais vīruss inficēja tūkstošiem upuru, uzspiežot viltus Adobe Flash Player atjauninājumus, izmantojot kompromitētās tīmekļa vietnes. Atcerieties, ka jūs varat paļauties tikai uz programmatūras atjauninājumiem, ko nodrošina programmatūras oficiālais izstrādātājs!
Olivia Morelli
Olivia Morelli

Ļaunatūru analītiķe...

Sazināties ar Olivia Morelli
Par Esolutions uzņēmumu

Lasīt citās valodās
Faili
Programmas
Salīdzināt