Filer kryptert av Bad Rabbit kan gjenopprettes, sier forskere

Ofre av Bad Rabbit ransomware kan ha muligheten til å gjenopprette dataene sine

Gode nyheter for alle Bad Rabbit-ofre: Teknisk analyse avBad Rabbit utført av Kaspersky avslørte at malware-trusselen har flere sårbarheter, noe som gjør det mulig for ofrene å gjenopprette filene sine gratis.

Ved første øyekast virker det til at den oppdaterte varianten av NotPetya er et datakrypterende virus som kombinerer chiffrene AES-128-CBC og RSA-2048. Analyse har imidlertid avslørt at kildekoden inneholder flere feil.

Det virker til at det beryktede ransomware-programmet som først rammet russiske og ukrainske databrukere den 24. oktober har svakheter i kildekoden – det inneholder ingen funksjon for å slette skyggekopier. Slike filer kan benyttes til å gjenopprette data som er kryptert av ondsinnede programmer.

Datagjenoppretting er likevel kun mulig når malware-programmet ikke har fullført krypteringen av hele disken. Dette betyr at viruset må avbrytes før alle prosessene er fullført.

Bad Rabbit er i motsetning til NotPetya ikke en wiper

Malware-eksperter har allerede funnet lenker mellom NotPetya (også kjent som ExPetr) og Bad Rabbit, og de har dessuten oppdaget forskjeller mellom disse to virusene. I følge ekspertene, er den nye ransomware-trusselen en forbedret variant av Petya-viruset som rystet nettsamfunnet i juni i 2017. Viruset som ble brukt i nettangrepet i sommer viste seg å være en såkalt wiper, mens Bad Rabbit fungerer som et datakrypterende ransomware-program.

Det viser seg at kildekoden til DiskCoder.D (Bad Rabbit) er bygget med intensjon om å få tilgang til dekrypteringspassordet.

Etter at offerets filer er krypterte, endrer ransomware-trusselen Master Boot-oppføringen og starter datamaskinen på nytt for å vise en melding med en “personal installation key#1” på skjermen. Denne nøkkelen er kryptert ved bruk av RSA-2048 og base64. Denne strukturen inneholder visse typer informasjon om offerets datamaskin.

Eksperter fra Kaspersky sier at de har fått tak i passordet som lages av malware-programmet under debugging-økten, og at de har prøvd å angi det under “personal installation key#1.” Passordet låste opp systemet og gjorde det mulig for det å starte. Filer som allerede var blitt krypterte i offerets filmapper forblir imidlertid ubrukelige.

For å dekryptere dem, kreves en unik RSA-2048-nøkkel. Symmetriske krypteringsnøkler opprettes samtidig, noe som gjør det umulig å gjette seg frem til dem.

Eksperter har også oppdaget en feil i dispci.exe-prosessen som brukes av viruset. Det viser seg at viruset ikke sletter det genererte passordet fra minnet, slik at det er mulig å starte gjenoppretting før prosessen avsluttes. Dessverre er dette i realiteten sjelden mulig, ettersom ofrene har en tendens til å starte datamaskinen sin på nytt.

Sikre dataene dine ved å forhindre infeksjon

Sikkerhetseksperter sier at disse oppdagelsene kun gir en liten mulighet til å gjenopprette krypterte filer. De advarer dessuten om at enhver type ransomware er ekstremt skadelig, og den eneste måten for å beskytte dataene dine på er å holde slike virus unna systemet. Derfor har vi laget en liten veiledning til hvordan du beskytter systemet ditt mot Bad Rabbit eller lignende ransomware-angrep:

  • Installer et pålitelig sikkerhetsprogram og installer oppdateringer i tide;
  • Opprett en sikkerhetskopi;
  • Vurder å lage dine egen «vaksine» mot Bad Rabbit ransomware;
  • Unngå å klikke på falske popup-vinduer som ber deg om å installere programoppdateringer. Viruset har som kjent angrepet tusenvis av ofre ved å oppfordre brukere til å oppdatere Adobe Flash Player via infiserte nettsider. Husk at du kun kan stole på programvareoppdateringer fra den offisielle utvikleren av programmet!
Om forfatteren
Olivia Morelli
Olivia Morelli

Malware-analytiker...

Kontakt Olivia Morelli
Om selskapet Esolutions

På andre språk
Filer
Programvare
Sammenlign