Bad Rabbit các tập tin được mã hóa có thể được phục hồi mà không phải trả tiền chuộc

Computer Security News

Kaspersky nhà nghiên cứu báo cáo rằng một số người dùng có thể phục hồi Bad Rabbit các tập tin được mã hóa mà không phải trả tiền chuộc người.

Sau khi lây nhiễm cho một thiết bị, ransomware Bad Rabbit tìm kiếm đối với một số loại tập tin và mã hóa chúng. Đĩa cứng cũng được mã hóa và khi máy tính khởi động, một tống xuất hiện trên màn hình, ngăn chặn nạn nhân truy cập vào hệ điều hành.

Mã hóa ổ đĩa và bộ nạp khởi động chức năng được cung cấp bởi mã nguồn gốc từ một tiện ích hợp pháp, được gọi là DiskCryptor.

Trong tháng sáu, chuyên gia bảo mật liên quan ransomware Bad Rabbit để tấn công NotPetya gây ra sự gián đoạn đáng kể cho nhiều công ty. Tuy nhiên, không giống như NotPetya, được phân loại như là một gạt nước do thực tế rằng nạn nhân có thể không khôi phục lại các tập tin ngay cả khi họ trả tiền chuộc, các tập tin đã mật mã Bad Rabbit có thể được phục hồi bằng cách nhấn phím phải giải mã.

Mặc dù một thực tế là các cơ chế mã hóa AES-128-CBC và RSA-2048 không bị nứt, các nhà nghiên cứu từ Kaspersky Lab mới tìm thấy một số phương pháp có thể để cho nạn nhân giải mã của đĩa và khôi phục lại các tập tin được mã hóa.

Ngay sau khi một máy tính bị nhiễm khởi động lên, người dùng được thông báo rằng các tập tin đã được mã hóa và họ đang hướng dẫn để thực hiện một khoản thanh toán để có được mật khẩu cần thiết để giải mã. Cùng một màn hình cũng cho phép các nạn nhân người đã có được một mật khẩu để nhập nó và khởi động hệ thống của họ.

Các chuyên gia Kaspersky tìm thấy rằng sau khi được tạo ra, mật khẩu cần thiết để khởi động hệ thống không bị xóa khỏi bộ nhớ, trong đó cung cấp cho người dùng cơ hội để giải nén nó trước khi quá trình tạo mật khẩu – dispci.exe, chấm dứt.

Theo Kaspersky, đang được nhập, mật khẩu khởi động hệ thống và decrypts đĩa, Tuy nhiên, không chỉ một “cơ hội mỏng” nạn nhân thực sự sẽ có thể trích xuất các mật khẩu.

Liên quan đến các tập tin phục hồi, các nhà nghiên cứu nhận thấy ransomware Bad Rabbit không xóa bản sao ẩn, là sao lưu được thực hiện bởi Windows. Nếu người dùng bật chức năng sao lưu này trước khi các tệp đã được mã hóa và phần mềm độc hại của đầy đủ chức năng mã hóa đĩa thất bại vì một số lý do hoặc đĩa giải mã bằng cách sử dụng các phương pháp nói trên, các dữ liệu được mã hóa có thể được phục hồi qua cửa sổ hoặc Tiện ích của bên thứ ba.

Ngoài ra, các chuyên gia Kaspersky đã xác nhận rằng Bad Rabbit thực sự sử dụng một liên kết NSA khai thác để lây lan, trong khi báo cáo trước đó tuyên bố không khai thác đã được quan sát. Các mối đe dọa sử dụng EternalRomance, được thừa hưởng bởi NotPetya ransomware.

Xem xét tất cả những điểm tương đồng như vậy đến nay, các nhà nghiên cứu nghĩ rằng cuộc tấn công Bad Rabbit đã được thực hiện bởi cùng một nhóm hacker tung ra chiến dịch NotPetya, được biết đến như BlackEnergy, TeleBots và Sandworm nhóm.


Leave a Reply

Your email address will not be published. Required fields are marked *