研究人员说，被 Bad Rabbit 加密的文件是可以复原的

Bad Rabbit 勒索软件的受害者可能有机会复原他们的数据

所有 Bad Rabbit 勒索软件受害者的好消息——由卡巴斯基对 Bad Rabbit 所做的技术分析显示，这个恶意软件有几个漏洞，因此受害者有机会免费复原他们的文件。

首先，NotPetya 的更新变种似乎是一个被修饰了的数据加密病毒，它使用了 AES-128-CBC 和 RSA-2048 密码的组合，但进一步的分析显示出其源代码其实含有几个错误。

看起来这个在 10 月 24 日最先攻击俄罗斯及乌克兰计算机用户的勒索软件，其源代码含有漏洞——它不含删除卷影副本的功能，卷影副本可以用来还原被恶意程序破坏的文件。

然而，在某个条件下，数据复原是有可能的。这个条件就是病毒没有对磁盘执行完整的加密，这就是说病毒必须被阻止，让它无法正确地完成所有的任务。

Bad Rabbit，不像 NotPetya，不是一个清理工具

由于恶意软件分析人员已经发现 NotPetya（也称为 ExPetr）和 Bad Rabbit 之间的联系，所以他们也强调了这两种病毒之间的差异。根据专家指出，这个新的勒索软件是 Petya 病毒的改进版本，Petya 病毒于 2017 年 7 月震惊了虚拟社区，这个使用于 6 月 27 日网络攻击的病毒成了一个清理工具，而 Bad Rabbit则成了一个数据加密勒索软件。

事实证明，DiskCoder.D (Bad Rabbit) 的源代码是为了访问用于损坏磁盘的解密密码而构建的。

在加密受害者的文件后，勒索软件更改了主引导记录并后重新启动计算机，以在屏幕上显示含有“个人安装密钥#1”的勒索字条。这个密钥是以 RSA-2048 和 base64 加密的二进位结构来编码的，这个结构持有受害者计算机某些类型的信息。

然而，ID 并不是用来在硬盘上加密数据的 AES 密钥，它只能用来识别不同的受感染计算机。

卡巴斯基的研究人员表示，他们在排除错误时提取由恶意软件创建的密码，并将它输入“个人安装密钥#1”。这个密钥将系统解封并允许启动系统，但是受害者文件夹里的被加密文件仍然无法存取。

欲解密这些文件，一个独特的 RSA-2048 密钥是必要的。必须说的是，对称加密密钥是分开创建的，因此无法猜测它们，试图强制破解它们也需要很长时间。

此外，专家在 dispci.exe 进程里发现到一个错误，病毒似乎没有从记忆体删除所生成的密码，因此在进程自我终止之前将它复原是有可能的。不幸的是，这在现实生活中几乎不可能，因为受害者往往会将计算机重新启动几次。

预防是控制数据安全的最佳方法

网络安全专家说，这些发现对复原被加密的文件只提供了很小的机会。此外，他们也警告说，任何类型的勒索软件都是非常危险的，保护数据的唯一方法就是尽你所能远离这种病毒。因此，我们的团队准备了一份关于如何保护你的系统远离Bad Rabbit 或类似勒索软件攻击的简短说明：

• 安装一个可靠的安全软件并及时安装其更新；
• 创建数据备份；
• 考虑为 Bad Rabbit 勒索软件创建你自己的“疫苗” ；
• 避免点击催促你安装软件更新的伪造弹窗。正如你知道的，所述病毒在受感染的网站推送伪造的 Adobe Flash Player 更新感染了数以千计的受害者。请记住，你只可以信任由软件开发者提供的软件更新！