Bad Rabbit fail dienkripsikan dapat dipulihkan tanpa perlu membayar fidyah

Computer Security News

Kaspersky penyelidik melaporkan bahawa sesetengah pengguna boleh memulihkan fail dienkripsikan Bad Rabbit tanpa perlu membayar fidyah tersebut.

Selepas menjangkiti peranti, ransomware Bad Rabbit yang mencari untuk sesetengah jenis fail dan menyulitkan mereka. Cakera keras juga disulitkan dan bila bot PC, Nota tebusan akan muncul pada skrin, menghalang mangsa daripada mengakses sistem pengendalian.

Cakera penyulitan dan fungsi mana disediakan oleh kod yang diperolehi daripada utiliti yang sah yang dipanggil DiskCryptor.

Pada bulan Jun, pakar keselamatan berkaitan ransomware di Bad Rabbit dengan serangan NotPetya itu yang menyebabkan gangguan yang ketara kepada banyak syarikat. Walau bagaimanapun, tidak seperti NotPetya, yang telah dikelaskan sebagai pengelap yang disebabkan oleh fakta bahawa mangsa tidak boleh memulihkan fail mereka walaupun mereka membayar fidyah tersebut, fail tersulit Bad Rabbit boleh dipulihkan dengan kekunci dekripsi betul.

Walaupun pada hakikatnya bahawa mekanisma penyulitan AES-128-PJK dan RSA-2048 tidak retak, penyelidik dari makmal Kaspersky mempunyai tempahan mendapati beberapa kaedah yang mungkin membenarkan mangsa nyahsulitkan cakera mereka dan memulihkan fail dienkripsikan.

Sebaik sahaja sebuah komputer yang dijangkiti bot meningkat, pengguna dimaklumkan bahawa fail mereka telah dienkripsikan dan mereka akan diarahkan untuk membuat pembayaran bagi mendapatkan kata laluan diperlukan untuk menyampuk dekripsi. Skrin sama juga membolehkan mangsa-mangsa yang telah memperolehi kata laluan untuk memasuki dan boot sistem mereka.

Pakar-pakar Kaspersky mendapati bahawa selepas dijana, kata laluan diperlukan untuk boot sistem tidak dipadam dari memori, yang memberikan pengguna peluang untuk cabutan sebelum proses yang mencipta kata laluan – dispci.exe, ditamatkan.

Menurut Kaspersky, memasuki, laluan bot sistem dan decrypts cakera, Walau bagaimanapun, ada kemungkinan hanya “slim” bahawa mangsa benar-benar akan mampu untuk mendapatkan kata laluan.

Mengenai jumlah gambar yang pulih, penyelidik melihat ransomware Bad Rabbit yang tidak menghapuskan salinan bayang, yang sandaran dibuat oleh Windows. Jika pengguna didayakan kefungsian ini sandaran sebelum fail telah dienkripsi dan perisian berniat jahat ini yang penuh dengan fungsi penyulitan cakera gagal atas sebab-sebab tertentu atau cakera dinyahsulitkan menggunakan kaedah tersebut di atas, data yang disulitkan boleh dipulihkan melalui Windows atau utiliti pihak ketiga.

Di samping itu, pakar-pakar Kaspersky telah mengesahkan bahawa Bad Rabbit sebenarnya menggunakan untuk mengeksploitasi berkaitan NSA untuk merebak, manakala Laporan awal mendakwa bahawa tiada eksploitasi telah diperhatikan. Ancaman menggunakan EternalRomance, yang telah melaksanakan oleh NotPetya ransomware.

Memandangkan semua persamaan setakat ini, para penyelidik berfikir bahawa serangan Bad Rabbit telah dijalankan oleh Kumpulan penggodam sama yang melancarkan kempen NotPetya, dikenali sebagai BlackEnergy, TeleBots dan pasukan merbahaya.


Leave a Reply

Your email address will not be published. Required fields are marked *