Filer krypteret af Bad Rabbit kan gendannes, siger researchere

Ofre for Bad Rabbit ransomware kan have mulighed for at gendanne deres data

Gode nyheder til alle Bad Rabbit ransomware ofre – en teknisk analyse af Bad Rabbit ransomware foretaget af Kaspersky har vist, at malwaren har flere fejl, der gør det muligt for ofrene at genoprette deres filer gratis.

Først så det ud som om, at den opdaterede variant af Petya er en poleret datakrypteringsvirus, der kombinerer AES-128-CBC og RSA-2048-cifre, men yderligere analyse har vist, at dens kildekode faktisk indeholder et par fejl.

Det ser ud til, at den berygtede ransomware, der først ramte russiske og ukrainske computerbrugere den 24. oktober, havde en fejl i sin kildekode – den indeholdt ikke en funktion til at slette Volume Shadow Copies, som kan bruges til at genoprette filer, der er skadet af ondsindede programmer.

Datagendannelse er dog mulig på én betingelse. Den skal undlade at udføre fuld kryptering af disken. Det betyder, at virussen skal afbrydes og ikke fuldfører alle opgaver korrekt.

Bad Rabbit, i modsætning til NotPetya, er ikke en wiper

Da malwareanalytikere allerede har fundet forbindelser mellem NotPetya (også kendt som ExPetr) og Bad Rabbit, accentuerede de også forskellene mellem disse to virusser. Ifølge eksperter er den nye ransomware en forbedret variant af Petya-virussen, der rystede det virtuelle samfund i juni 2017. Virussen, der blev brugt cyberangrebet d. 27. juni, viste sig at være en wiper, mens Bad Rabbit fungerer som en datakrypterende ransomware.

Det viser sig, at kildekoden til DiskCoder.D (Bad Rabbit) er bygget med det formål at få adgang til dekrypteringsadgangskoden, der anvendes til diskkorruption.

Efter kodning af offerets filer, ændrer ransomwaren Master Boot Record og genstarter computeren for at vise en løsesumsnote med en “personal installation key#1” på skærmen. Denne nøgle er kodet ved hjælp af RSA-2048 og base64-krypteret binær struktur. Denne struktur indeholder visse typer oplysninger om offerets computer.

ID'et er imidlertid ikke AES-nøglen, der bruges til at kryptere dataene på disken og fungerer kun som en identifikator for forskellige kompromitterede pc'er.

researchere fra Kaspersky angiver, at de hentede adgangskoden oprettet af malwaren under debugging-sessionen og indtastede den under den “personal installation key#1.” Adgangskoden låste systemet op og lod det starte. Men filer, der er krypteret på offerets mapper, forblev uopnåelige.

For at dekryptere dem kræves en unik RSA-2048-nøgle. Det må siges, at de symmetriske krypteringsnøgler oprettes særskilt, hvilket gør det umuligt at gætte dem. Forsøg på at gennemtvinge dem ville også tage meget lang tid.

Desuden opdagede eksperterne en fejl i den dispci.exe-proces, der blev brugt af virussen. Det ser ud til, at virussen ikke sletter den genererede adgangskode fra hukommelsen, så gendannelsen af den, før processen afsluttes, er mulig. Desværre er dette næppe muligt i virkelige situationer, fordi ofre plejer at genstarte deres computere et par gange.

Forebyggelse er den bedste tilgang til at kontrollere din datasikkerhed

Eksperter i cybersikkerhed siger, at disse fund kun giver en lille chance for at gendanne de krypterede filer. De advarer også om, at enhver form for ransomware er ekstremt farlig, og den eneste måde at holde dine data beskyttede på, er at prøve at gøre dit bedste for at holde sådanne virusser væk. Derfor har vores team lavet en kort vejledning til, hvordan du holder dit system beskyttet mod Bad Rabbit eller lignende ransomware-angreb:

• Installér en pålidelig sikkerhedssoftware og installér opdateringer til den i tide;
• Opret en data backup;
• Overvej at oprette din egen “vaccine” til Bad Rabbit ransomware;
• Undgå at klikke på falske pop-ups, der opfordrer dig til at installere softwareopdateringer. Som du sikkert ved, inficerede den beskrevne virus tusindvis af ofre, ved at fremme falske Adobe Flash Player opdateringer via kompromitterede hjemmesider. Husk på, at du kun kan stole på softwareopdateringer, der leveres af den officielle udvikler af softwaren!