Onderzoekers stellen dat bestanden die zijn versleuteld door Bad Rabbit, kunnen worden hersteld

Slachtoffers van de Bad Rabbit-gijzelsoftware hebben misschien de kans om hun gegevens te herstellen

Goed nieuws voor alle slachtoffers van de Bad Rabbit-gijzelsoftware: technische analyse van de Bad Rabbit-gijzelsoftware door Kaspersky bracht aan het licht dat de malware verschillende tekortkomingen heeft waardoor slachtoffers hun bestanden gratis kunnen herstellen.

In eerste instantie leek het erop dat de bijgewerkte variant van NotPetya een verfijnd datacoderend virus is dat de AES-128-CBC- en RSA-2048-coderingen combineert, maar uit verdere analyse bleek dat de broncode in feite een paar fouten bevat.

Het lijkt erop dat de beruchte gijzelsoftware die op 24 oktober de Russische en Oekraïense computergebruikers trof, een fout had in de broncode: het bevatte namelijk geen functie om de Volume-Schaduwkopieën te verwijderen, die kunnen worden gebruikt om bestanden te herstellen die zijn beschadigd door kwaadaardige programma's.

Gegevensherstel is echter alleen mogelijk onder één voorwaarde: het moet de volledige schijfversleuteling niet kunnen uitvoeren. Dat betekent dat het virus moet worden onderbroken en niet alle taken correct kan uitvoeren.

Bad Rabbit is, in tegenstelling tot NotPetya, geen wisser

Aangezien malware-analisten al koppelingen hebben gevonden tussen NotPetya (ook bekend als ExPetr) en Bad Rabbit, hebben ze ook de verschillen tussen deze twee virussen benadrukt. Volgens de experts is de nieuwe gijzelsoftware een verbeterde variant van het Petya-virus dat in juni 2017 de virtuele gemeenschap schokte. Het virus dat werd gebruikt bij de cyberaanval van 27 juni bleek een wisser te zijn, terwijl Bad Rabbit functioneert als een data-coderende gijzelsoftware.

Het blijkt dat de broncode van DiskCoder.D (Bad Rabbit) is gebouwd met de bedoeling toegang te hebben tot het decoderingswachtwoord dat wordt gebruikt voor het corrumperen van de schijf.

Na het coderen van de bestanden van het slachtoffer, verandert de gijzelsoftware het Master Boot Record en start de computer opnieuw op om een ​​losgeldbrief met een “persoonlijke installatiesleutel # 1” op het scherm weer te geven. Deze sleutel is gecodeerd met RSA-2048 en base64-gecodeerde binaire structuur. Deze structuur bevat bepaalde soorten informatie over de computer van het slachtoffer.

De ID is echter niet de AES-sleutel die wordt gebruikt om de gegevens op de schijf te coderen en werkt alleen als een ID voor verschillende besmette pc's.

De onderzoekers van Kaspersky beweren dat ze tijdens de debugging-sessie het wachtwoord dat is aangemaakt door de malware hebben geëxtraheerd en onder de “persoonlijke installatiecode # 1” hebben ingevoerd. Het wachtwoord ontgrendelde het systeem en het gaf toestemming om het op te starten. Bestanden die waren gecodeerd in de mappen van het slachtoffer bleven echter onbereikbaar.

Om ze te decoderen, is een unieke RSA-2048-sleutel vereist. Het moet gezegd dat de symmetrische coderingssleutels afzonderlijk worden gemaakt, waardoor het onmogelijk is ze te raden. Pogingen om deze op brute wijze te forceren zouden ook nog heel, heel lang duren.

Bovendien ontdekten de experts een fout in het dispci.exe-proces dat door het virus werd gebruikt. Het lijkt erop dat het virus het gegenereerde wachtwoord niet uit het geheugen verwijdert, dus het herstel ervan voordat het proces zichzelf beëindigt, is mogelijk. Helaas is dit nauwelijks mogelijk in situaties in het echte leven, omdat slachtoffers de neiging hebben om hun computers een paar keer opnieuw op te starten.

Preventie is de beste manier om uw gegevensbeveiliging te beheren

Experts op het gebied van cyberveiligheid zeggen dat deze bevindingen maar een kleine kans bieden om gecodeerde bestanden te herstellen. Ook waarschuwen ze dat elk type gijzelsoftware buitengewoon gevaarlijk is en dat de enige manier om uw gegevens te beschermen is door uw  uiterste best te doen om weg te blijven bij dergelijke virussen. Daarom heeft ons team een ​​korte instructie opgesteld inzake het beschermen van uw systeem tegen Bad Rabbit of soortgelijke gijzelsoftware-aanvallen:

• Installeer een betrouwbare beveiligingssoftware en installeer zijn updates op tijd;
• Maak een back-up van gegevens;
• Overweeg om uw eigen “vaccin” tegen de Bad Rabbit-gijzelsoftware te creëren;
• Vermijd te klikken op nep pop-ups waarin u wordt gevraagd om software-updates te installeren. Zoals u waarschijnlijk weet, infecteerde het beschreven virus duizenden slachtoffers door valse Adobe Flash Player-updates aan te leveren via aangetaste websites. Vergeet niet dat u alleen kunt vertrouwen op software-updates die door de officiële ontwikkelaar van die software worden geleverd!