Bad Rabbit krypterade filer kan återställas utan att betala lösen

Computer Security News

Kaspersky forskare rapporterade att vissa användare kan återställa Bad Rabbit krypterade filer utan att betala lösen.

Efter infektera en enhet, Bad Rabbit ransomware söker för vissa filtyper och krypterar dem. Hårddisken är krypterad och när datorn startar, ett hotbrev visas på skärmen, hindrar offret från att komma åt operativsystemet.

Hårddiskkryptering och starthanteraren funktionalitet tillhandahålls av kod som härrör från ett legitimt verktyg som heter DiskCryptor.

I juni med säkerhetsexperter Bad Rabbit ransomware NotPetya attacken som orsakat betydande störningar på många företag. Men till skillnad från NotPetya, som klassificerades som en vindrutetorkare på grund av att offren inte kunde återhämta sig sina filer även om de betalade lösen, kan Bad Rabbit krypterade filer återställas med rätt krypteringsnyckel.

Trots att de krypteringsmekanismer AES-128-CBC och RSA-2048 inte kan knäckas, forskare från Kaspersky Lab har nyligen hittat några metoder som kan låta offren dekryptera deras disk och återställa de krypterade filerna.

Så snart en infekterad dator startar upp, informeras användarna att deras filer har krypterats och de instrueras att göra en betalning för att erhålla lösenord som behövs för dekryptering. Samma skärm tillåter också offer som redan har fått ett lösenord för att ange den och starta upp deras system.

Kaspersky experterna hittade att efter som genereras, inte är det lösenord som behövs för att starta systemet torkas ur minnet, vilket ger användarna möjlighet att extrahera den innan den process som skapar lösenordet – dispci.exe, avslutas.

Enligt Kaspersky, förs in, lösenordet startar systemet och dekrypterar disken, men det finns bara en ”smal chans” att offren faktiskt kommer att kunna extrahera lösenord.

Angående filer att återställa, forskarna märkte att Bad Rabbit ransomware inte tar bort skuggkopior, som är säkerhetskopior av Windows. Om användare aktiverat backup funktionen innan filerna krypterades och malware’s full disk kryptering funktioner misslyckades av någon anledning eller disken dekrypteras med ovan nämnda metod, krypterade data kan återställas via Windows eller tredje part verktyg.

Dessutom Kaspersky experterna har bekräftat att Bad Rabbit använder faktiskt en NSA-länkade utnyttja för att sprida, medan de tidigare rapporterna hävdade att ingen utnyttjar hade observerats. Hotet använder EternalRomance, som var belånade av NotPetya ransomware.

Med tanke på alla likheter hittills, forskarna tror att Bad Rabbit attacken har utförts av samma hacker grupp som inledde NotPetya kampanjen, känd som BlackEnergy, TeleBots och Sandworm Team.


Leave a Reply

Your email address will not be published. Required fields are marked *