Tiedostot, jotka Bad Rabbit on salannut, voidaan tutkijoiden mukaan palauttaa

Bad Rabbit lunnasohjelman uhreilla voi olla mahdollisuus palauttaa tiedostonsa

Hyviä uutisia kaikille Bad Rabbit lunnasohjelman uhreille – Bad Rabbit lunnasohjelman tekninen analyysi Kasperskylta paljasti, että haittaohjelmassa on useita vikoja, jotka antavat uhrien palauttaa tiedostonsa ilmaiseksi.

Ensin vaikuttaa siltä, että päivitetty NotPetya version on loppuunsa hiottu tiedostoja salaava virus, joka yhdistää AES-128-CBC ja RSA-2048 salauksen, tarkempia analyysi paljastaa sen lähdekoodin sisältävän muutamia virheitä.

Vaikuttaa siltä, että pahamaineinen lunnasohjelma iski ensin Venäläisiin ja Ukrainalaisiin tietokoneen käyttäjiin Lokakuun 24. ja sen lähdekoodissa oli virhe – siinä ei ollut toimintoa, joka olisi poistanut Volume Shadow Copies tiedostot, joita voidaan käyttää palauttamaan vaarallisen ohjelman vahingoittamat tiedostot.

Tiedostojen palautus on kuitenkin mahdollista yhdellä ehdolla. Sen pitää epäonnistua koko kovalevyn salauksessa. Se tarkoittaa, että virus pitää keskeyttää ja se ei saa suorittaa tehtäväänsä kokonaan.

Bad Rabbit, toisin kuin NotPetya, ei ole pyyhkijä

Koska haittaohjelma analyytikot ovat jo löytäneet linkin NotPetya viruksen (tunnetaan myös nimellä ExPetr) ja Bad Rabbit viruksen välillä, niin he ovat myös korostaneet eroavaisuuksia näiden kahden viruksen välillä. Asiantuntijoiden mukaan uusi lunnasohjelma on paranneltu versio Petya viruksesta, joka ravisteli virtuaalista yhteisöä Kesäkuussa 2017. Virusta käytettiin Kesäkuun 27. verkkohyökkäyksessä, joka paljastui pyyhkijäksi, kun taas Bad Rabbit toimii tiedostoja salaavana lunnasohjelmana.

Vaikuttaa siltä, että DiskCoder.D (Bad Rabbit) lähdekoodi on rakennettu tarkoituksena saada pääsy salauksen poiston salasanaan, jota käytetään levyn saastutukseen.

Kun se on salannut uhrien tiedostot, lunnasohjelma muuttaa Master Boot Recordin ja käynnistää tietokoneen näyttämään lunnasviestiä, jossa on “personal installation key#1” näytöllä. Tämä avain salataan RSA-2048 ja base64-salatulla binääri rakenteella. Tämä rakenne pitää sisällään määrättyjä tietoja uhrien tietokoneista.

ID ei kuitenkaan ole AES avain, jota käytetään salaamaan tiedot levyllä ja se toimii vain saastuneen PC:n tunnisteena.

Kaspersky tutkijat ilmoittavat, että he tonkivat esiin haittaohjelman luoman salasanan virheenkorjaus session yhteydessä ja laittoivat sen “personal installation key#1” alle. Salasana poisti järjestelmän lukituksen ja salli sen käynnistyksen. Uhrin kansioissa salatut tiedostot pysyivät muuttumattomina.

Niiden salaukseen vaaditaan ainutlaatuinen RSA-2048 avain. On pakko sanoa, että symmetriset salauksen poistoavaimet luodaan erikseen, joten niiden arvaaminen on mahdotonta. Niiden avaamisen väkivaltaiset yritykset vievät myös tuhottomasti aikaa.

Tämän lisäksi asiantuntijat löysivät virheen dispci.exe prosessista, jota virus käyttää. Vaikuttaa siltä, että virus ei poista luotuja salasanoja muistista, joten sen palauttaminen ennen kuin prosessi lopettaa itsensä, on mahdollista. Tämä ei valitettavasti ole kovinkaan mahdollista oikean elämän tilanteissa, koska uhrit käynnistävät tietokoneitaan usein uudelleen.

Estäminen on paras lähestymistapa tietojesi turvallisuuden hallintaan

Verkkoturvallisuuden asiantuntijat sanovat, että nämä löydöt antavat vain pienen mahdollisuuden palauttaa salattuja tiedostoja. He myös varoittavat, että mikä tahansa lunnasohjelma on todella vaarallinen ja ainoa tapa pitää tiedostosi salattuna on koettaa pitää tällaiset virukset poissa. Siksi meidän tiimimme on valmistellut lyhyen oppaan, kuinka pitää tietokoneesi suojattuna Bad Rabbit tai vastaavilta lunnasohjelmilta:

• Asenna luotettava turvaohjelma ja päivitä sitä jatkuvasti;
• Luo tiedostojen varmuuskopioita;
• Harkitse oman “rokotteesi” luomista Bad Rabbit lunnasohjelmalle;
• Vältä klikkaamasta tekaistuja pop-uppeja, jotka kehottavat sinua asentamaan ohjelmien päivityksiä. Kuten luultavasti tiedät, kuvailtu virus on saastuttanut tuhansia uhreja tyrkyttämällä tekaistuja Adobe Flash Player päivityksiä saastuneilla sivuille. Pidä aina mielessäsi, että voit luottaa vain ohjelmien päivityksiin viralliselta ohjelman kehittäjältä!