Bad Rabbit зашифрованих файлів може бути відновлений без сплати викуп

Computer Security News

Kaspersky дослідники повідомили, що деякі користувачі можуть відновити Bad Rabbit зашифровані файли без сплати викупу.

Після зараження пристрою, Bad Rabbit вимагачів шукає для певних типів файлів і шифрує їх. Також шифруються на жорсткий диск і коли комп’ютер завантажується, викуп Примітка з’являється на екрані, запобігає потерпілого до операційної системи.

Шифрування диска і завантажувач функціональності надаються код походить від законних утиліту під назвою DiskCryptor.

У червні безпеки експерти пов’язані Bad Rabbit вимагачів NotPetya атаки, який викликав значні збої для багатьох компаній. Однак, на відміну від NotPetya, який класифікується як це wiper з тим, що жертви не вдалося відновити свої файли, навіть якщо вони заплатили викупу, Bad Rabbit зашифрованих файлів може бути відновлений з клавішу вправо дешифрування.

Незважаючи на те що механізмами шифрування AES-128-CBC і RSA-2048 не може бути зламаний, дослідниками з Лабораторії Касперського нещодавно виявили деякі методи, які можуть дозволити жертв розшифрувати їх диска й відновлювати зашифровані файли.

Як тільки зараженого комп’ютера чоботи, інформування користувачів що зашифровано свої файли, і вони доручили зробити платіж для того, щоб отримати пароль, необхідні для розшифрування. Той же екран також дозволяє жертв, які отримали пароля, введіть його і завантаження їх системи.

Kaspersky експерти виявили, що після генерується, пароль, необхідні для завантаження системи не витер з пам’яті, що дає користувачам можливість, щоб витягти його, перш ніж процес, який створює пароль – dispci.exe, припиняється.

За словами Касперського, що вводяться, пароль чоботи системи та розшифровує диск, однак, там тільки “слабка надія на” що жертви фактично зможемо витягти пароль.

Щодо файлів, відновлення, дослідники помітили, що Bad Rabbit вимагачів. exe не видаляє точні копії, які є резервні копії зроблені Windows. Ввімкненої користувачі цієї резервної копії функціональність до зашифрованих файлів, і шкідливі програми в повну функціональність шифрування диска не вдалося для будь-якої причини або диска дешифрується вищезазначених методом, зашифровані дані можуть бути відновлені за допомогою Windows або сторонніх утиліт.

Крім того, експерти Касперського підтвердили, що Bad Rabbit насправді використовувати exploit НГБ пов’язаний поширюватися, хоча раніше повідомлялося стверджував, що не подвиги був дотриманий. Загроза використовує EternalRomance, яка була використана вимагачів NotPetya.

Беручи до уваги всі подібності до цих пір, дослідники думаю що Bad Rabbit напад було проведено та ж Група хакер, які почали кампанію NotPetya, відомий як BlackEnergy, TeleBots та піщаний черв’як команди.


Leave a Reply

Your email address will not be published. Required fields are marked *