A szakértők szerint a Bad Rabbit által titkosított fájlok megmenthetők

A szakértők szerint a Bad Rabbit zsarolóvírus áldozatainak van esélyük az adatmentésre

Jó hír a Bad Rabbit ransomware áldozatainak: a Kaspersky Bad Rabbit-elemzése alapján a malware több sebből is vérzik, amelyek lehetővé tehetik a fájlok ingyenes visszaállítását.

Először úgy tűnt, hogy a NotPetya új változata kifinomult fájltitkosító vírus, amely az AES-128-CBC és RSA-2048 algoritmusokkal titkosítja a fájlokat, de egy részletesebb elemzés során kiderült, hogy a forráskód több hibát is tartalmaz.

Az október 24-én felbukkanó, először Oroszországot és Ukrajnát támadó hírhedt ransomware komoly hibát vétett, nem tartalmazott funkciót a rendszer árnyékmásolatainak törlésére, azaz az árnyékmásolatok alapján megmenthetők a vírus által károsított fájlok.

Az adatmentéshez azonban egyetlen feltételnek teljesülnie kell. Csak akkor lehetséges, ha a vírus nem tudta titkosítani a teljes lemezt. Más szóval a titkosításnak meg kellett szakadnia, mielőtt minden feladatot befejezhetett volna.

A Bad Rabbit – szemben a NotPetyával – nem törli az adatokat

A malware-szakértők kapcsolatot találtak a NotPetya (más néven ExPetr) és a Bad Rabbit között, de kiemelték a két vírus közötti különbségeket is. A szakértők szerint az új ransomware a 2017 júniusában felbukkant Petya vírus továbbfejlesztett változata. A június 27-ei támadás során használt vírusról kiderült, hogy törli a fájlokat, a Bad Rabbit viszont csak titkosítóként funkcionál.

A DiskCoder.D (Bad Rabbit) forráskódja azzal a céllal készült, hogy a lemez titkosítása után elérhető legyen a visszafejtéshez szükséges jelszó.

Az áldozatok adatainak titkosítását követően a ransomware módosítja a fő rendszerindító rekordot, majd újraindítja a számítógépet és üzenetet jelenít meg, benne egy „personal installation key#1” nevű kulccsal. Ezt a kulcsot az RSA-2048-val és base64-alapú bináris struktúrával titkosították. A kulcs az áldozat számítógépéről tartalmaz információkat.

Az azonosító nem a titkosításhoz használt AES-kulcs, csak az érintett számítógép azonosítására szolgál.

A Kaspersky szakértői azt mondják, hogy a tesztek során sikerült kinyerniük a malware-által létrehozott jelszót, majd ezt meg is adták a „personal installation key#1” alatti mezőben. A jelszó felnyitotta a rendszert és lehetővé tette az indítást. A titkosított fájlok azonban változatlanul maradtak.

Visszafejtésükhöz egy egyedi RSA-2048 kulcs szükséges. Fontos, hogy minden áldozat saját szimmetrikus visszafejtő kulcsot kap, ennek kitalálása lehetetlen. Nyers erővel is túl sokáig tartana rájönni.

A szakértők szerencsére hibát találtak a vírus által használt dispci.exe folyamatban. Úgy tűnik, hogy a vírus nem törli a létrehozott jelszót a memóriából, tehát lehetséges megszerezni, még mielőtt a folyamat befejeződik. Ez azonban a valós helyzetekben sajnos aligha megoldható, hiszen az áldozatok minden bizonnyal többször is újra fogják indítani a számítógépet.

A megelőzés az adatbiztonság legjobb megközelítése

A szakértők egyetértenek abban, hogy mindezek csak csekély esélyt jelentenek az adatok megmentésének. Figyelmeztetnek továbbá, hogy minden zsarolóvírus rendkívül veszélyes, az adatok csak a vírusok elkerülésével tarthatók biztonságban. Csapatunk ezért rövid útmutatót készített, amelynek segítségével megvédheti számítógépét a Bad Rabbit vírussal és más ransomware-ekkel szemben:

• Telepítsen megbízható biztonsági szoftvert és időben telepítse a frissítéseit;
• Készítsen biztonsági mentéseket;
• Fontolja meg saját „vakcina” elkészítését a Bad Rabbit zsarolóvírushoz;
• Kerülje el a megtévesztő webes felugró ablakokat, amelyek frissítések telepítésére buzdítják. Talán már tudja, hogy a szóban forgó vírus több ezreket fertőzött meg hamis Adobe Flash Player frissítések megjelenítésével (fertőzött weboldalakon keresztül). Ne feledje, hogy csak a hivatalos fejlesztő frissítéseit szabad telepíteni!