By | October 30, 2017

קספרסקי חוקרים דיווחו כי חלק מהמשתמשים יכול לשחזר קבצים מוצפנים Bad Rabbit בלי לשלם את הכופר.

לאחר הדבקה של התקן, ransomware Bad Rabbit חיפוש מסוימים סוגי קבצים, מצפין אותם. הדיסק הקשיח מוצפן גם, כאשר המחשב מאותחל, מכתב כופר מופיעה על המסך, מניעת גישה למערכת ההפעלה של הקורבן.

דיסק ההצפנה ועל פונקציונליות מטען אתחול מסופקים על ידי קוד נגזר כלי לגיטימי שנקרא DiskCryptor.

בחודש יוני, מומחי אבטחה לקשר את ransomware Bad Rabbit ההתקפה NotPetya שגרם להפרעות משמעותיות לחברות רבות. עם זאת, בניגוד NotPetya, אשר היה מסווג בתור קידמית בשל העובדה כי הקורבנות לא היתה אפשרות לשחזר את הקבצים שלהם גם אם הם שילמו את דמי הכופר, ניתן לשחזר את הקבצים המוצפנים Bad Rabbit עם מפתח הפענוח הנכון.

למרות העובדה כי מנגנוני הצפנה AES-128-CBC, RSA-2048 לא יכול להיות סדוק, חוקרים מבית קספרסקי יש לאחרונה מצא כמה שיטות אשר יתן קורבנות לפענח את הדיסק שלהם ולשחזר את הקבצים המוצפנים.

ברגע אתחול המחשב נגוע, המשתמשים הם הודיעו כי הוצפנו הקבצים שלהם, הם הורו לבצע תשלום על מנת לקבל את הסיסמה הדרוש עבור פענוח. באותו המסך מאפשר גם קורבנות שהשיגו כבר סיסמה כדי להזין אותו, לאתחל את המערכת שלהם.

המומחים קספרסקי מצא כי לאחר, הנוצר הסיסמא צריך לאתחל את המערכת לא נמחק מהזיכרון, אשר מעניק למשתמשים את ההזדמנות כדי לחלץ אותה לפני תהליך שיוצר את הסיסמה – dispci.exe, הסתיים.

לפי קספרסקי, הזנת הסיסמה המגפיים למערכת, מפענח את הדיסק, עם זאת, יש רק “סיכוי קלוש” כי קורבנות למעשה יהיה מסוגל לחלץ את הסיסמה.

לגבי הקבצים מחלים, החוקרים הבחינו כי ransomware Bad Rabbit אינה מוחקת את עותקי צל, אשר הם גיבויים שבוצעו על-ידי Windows. אם משתמשים זמינה פונקציונליות גיבוי זו לפני הוצפנו הקבצים, התוכנה הזדונית של מלוא הפונקציונליות הצפנת דיסק נכשל מסיבה כלשהי או הדיסק מפוענח באמצעות השיטה הנ ל, ניתן לשחזר את הנתונים המוצפנים באמצעות Windows או כלי צד שלישי.

בנוסף, אישרו המומחים קספרסקי Bad Rabbit למעשה להשתמש לנצל מקושרים-NSA להתפשט, ואילו דו חות קודמים טענה הנועזים לא נצפתה. האיום משתמשת EternalRomance, אשר היה ממונף על ידי ransomware NotPetya.

בהתחשב כל הדמיון עד כה, החוקרים חושבים כי ההתקפה Bad Rabbit התבצע על ידי הקבוצה האקר שהזניק את הקמפיין NotPetya, המכונה BlackEnergy, TeleBots, צוות Sandworm.

Leave a Reply

Your email address will not be published. Required fields are marked *