研究人员说,被 Bad Rabbit 加密的文件是可以复原的

Bad Rabbit 勒索软件的受害者可能有机会复原他们的数据

所有 Bad Rabbit 勒索软件受害者的好消息——由卡巴斯基对 Bad Rabbit 所做的技术分析显示,这个恶意软件有几个漏洞,因此受害者有机会免费复原他们的文件。

首先,NotPetya 的更新变种似乎是一个被修饰了的数据加密病毒,它使用了 AES-128-CBC 和 RSA-2048 密码的组合,但进一步的分析显示出其源代码其实含有几个错误。

看起来这个在 10 月 24 日最先攻击俄罗斯及乌克兰计算机用户的勒索软件,其源代码含有漏洞——它不含删除卷影副本的功能,卷影副本可以用来还原被恶意程序破坏的文件。

然而,在某个条件下,数据复原是有可能的。这个条件就是病毒没有对磁盘执行完整的加密,这就是说病毒必须被阻止,让它无法正确地完成所有的任务。

Bad Rabbit,不像 NotPetya,不是一个清理工具

由于恶意软件分析人员已经发现 NotPetya(也称为 ExPetr)和 Bad Rabbit 之间的联系,所以他们也强调了这两种病毒之间的差异。根据专家指出,这个新的勒索软件是 Petya 病毒的改进版本,Petya 病毒于 2017 年 7 月震惊了虚拟社区,这个使用于 6 月 27 日网络攻击的病毒成了一个清理工具,而 Bad Rabbit则成了一个数据加密勒索软件。

事实证明,DiskCoder.D (Bad Rabbit) 的源代码是为了访问用于损坏磁盘的解密密码而构建的。

在加密受害者的文件后,勒索软件更改了主引导记录并后重新启动计算机,以在屏幕上显示含有“个人安装密钥#1”的勒索字条。这个密钥是以 RSA-2048 和 base64 加密的二进位结构来编码的,这个结构持有受害者计算机某些类型的信息。

然而,ID 并不是用来在硬盘上加密数据的 AES 密钥,它只能用来识别不同的受感染计算机。

卡巴斯基的研究人员表示,他们在排除错误时提取由恶意软件创建的密码,并将它输入“个人安装密钥#1”。这个密钥将系统解封并允许启动系统,但是受害者文件夹里的被加密文件仍然无法存取。

欲解密这些文件,一个独特的 RSA-2048 密钥是必要的。必须说的是,对称加密密钥是分开创建的,因此无法猜测它们,试图强制破解它们也需要很长时间。

此外,专家在 dispci.exe 进程里发现到一个错误,病毒似乎没有从记忆体删除所生成的密码,因此在进程自我终止之前将它复原是有可能的。不幸的是,这在现实生活中几乎不可能,因为受害者往往会将计算机重新启动几次。

预防是控制数据安全的最佳方法

网络安全专家说,这些发现对复原被加密的文件只提供了很小的机会。此外,他们也警告说,任何类型的勒索软件都是非常危险的,保护数据的唯一方法就是尽你所能远离这种病毒。因此,我们的团队准备了一份关于如何保护你的系统远离Bad Rabbit 或类似勒索软件攻击的简短说明:

  • 安装一个可靠的安全软件并及时安装其更新;
  • 创建数据备份;
  • 考虑为 Bad Rabbit 勒索软件创建你自己的“疫苗” ;
  • 避免点击催促你安装软件更新的伪造弹窗。正如你知道的,所述病毒在受感染的网站推送伪造的 Adobe Flash Player 更新感染了数以千计的受害者。请记住,你只可以信任由软件开发者提供的软件更新!
关于作者
Olivia Morelli
Olivia Morelli

恶意软件分析员...

联系 Olivia Morelli
关于 Esolutions 公司

以其他语言阅读
文件
软件
比较