Onderzoekers stellen dat bestanden die zijn versleuteld door Bad Rabbit, kunnen worden hersteld

door Olivia Morelli - -
Geef je mening
Stel je vraag
15558 bezoekers

Slachtoffers van de Bad Rabbit-gijzelsoftware hebben misschien de kans om hun gegevens te herstellen

Victims of Bad Rabbit ransomware have a slight chance of recovering files for free

Goed nieuws voor alle slachtoffers van de Bad Rabbit-gijzelsoftware: technische analyse van de Bad Rabbit-gijzelsoftware door Kaspersky bracht aan het licht dat de malware verschillende tekortkomingen heeft waardoor slachtoffers hun bestanden gratis kunnen herstellen.

In eerste instantie leek het erop dat de bijgewerkte variant van NotPetya een verfijnd datacoderend virus is dat de AES-128-CBC- en RSA-2048-coderingen combineert, maar uit verdere analyse bleek dat de broncode in feite een paar fouten bevat.

Het lijkt erop dat de beruchte gijzelsoftware die op 24 oktober de Russische en Oekraïense computergebruikers trof, een fout had in de broncode: het bevatte namelijk geen functie om de Volume-Schaduwkopieën te verwijderen, die kunnen worden gebruikt om bestanden te herstellen die zijn beschadigd door kwaadaardige programma's.

Gegevensherstel is echter alleen mogelijk onder één voorwaarde: het moet de volledige schijfversleuteling niet kunnen uitvoeren. Dat betekent dat het virus moet worden onderbroken en niet alle taken correct kan uitvoeren.

Bad Rabbit is, in tegenstelling tot NotPetya, geen wisser

Aangezien malware-analisten al koppelingen hebben gevonden tussen NotPetya (ook bekend als ExPetr) en Bad Rabbit, hebben ze ook de verschillen tussen deze twee virussen benadrukt. Volgens de experts is de nieuwe gijzelsoftware een verbeterde variant van het Petya-virus dat in juni 2017 de virtuele gemeenschap schokte. Het virus dat werd gebruikt bij de cyberaanval van 27 juni bleek een wisser te zijn, terwijl Bad Rabbit functioneert als een data-coderende gijzelsoftware.

Het blijkt dat de broncode van DiskCoder.D (Bad Rabbit) is gebouwd met de bedoeling toegang te hebben tot het decoderingswachtwoord dat wordt gebruikt voor het corrumperen van de schijf.

Na het coderen van de bestanden van het slachtoffer, verandert de gijzelsoftware het Master Boot Record en start de computer opnieuw op om een ​​losgeldbrief met een “persoonlijke installatiesleutel # 1” op het scherm weer te geven. Deze sleutel is gecodeerd met RSA-2048 en base64-gecodeerde binaire structuur. Deze structuur bevat bepaalde soorten informatie over de computer van het slachtoffer.

De ID is echter niet de AES-sleutel die wordt gebruikt om de gegevens op de schijf te coderen en werkt alleen als een ID voor verschillende besmette pc's.

De onderzoekers van Kaspersky beweren dat ze tijdens de debugging-sessie het wachtwoord dat is aangemaakt door de malware hebben geëxtraheerd en onder de “persoonlijke installatiecode # 1” hebben ingevoerd. Het wachtwoord ontgrendelde het systeem en het gaf toestemming om het op te starten. Bestanden die waren gecodeerd in de mappen van het slachtoffer bleven echter onbereikbaar.

Om ze te decoderen, is een unieke RSA-2048-sleutel vereist. Het moet gezegd dat de symmetrische coderingssleutels afzonderlijk worden gemaakt, waardoor het onmogelijk is ze te raden. Pogingen om deze op brute wijze te forceren zouden ook nog heel, heel lang duren.

Bovendien ontdekten de experts een fout in het dispci.exe-proces dat door het virus werd gebruikt. Het lijkt erop dat het virus het gegenereerde wachtwoord niet uit het geheugen verwijdert, dus het herstel ervan voordat het proces zichzelf beëindigt, is mogelijk. Helaas is dit nauwelijks mogelijk in situaties in het echte leven, omdat slachtoffers de neiging hebben om hun computers een paar keer opnieuw op te starten.

Preventie is de beste manier om uw gegevensbeveiliging te beheren

Experts op het gebied van cyberveiligheid zeggen dat deze bevindingen maar een kleine kans bieden om gecodeerde bestanden te herstellen. Ook waarschuwen ze dat elk type gijzelsoftware buitengewoon gevaarlijk is en dat de enige manier om uw gegevens te beschermen is door uw  uiterste best te doen om weg te blijven bij dergelijke virussen. Daarom heeft ons team een ​​korte instructie opgesteld inzake het beschermen van uw systeem tegen Bad Rabbit of soortgelijke gijzelsoftware-aanvallen:

  • Installeer een betrouwbare beveiligingssoftware en installeer zijn updates op tijd;
  • Maak een back-up van gegevens;
  • Overweeg om uw eigen “vaccin” tegen de Bad Rabbit-gijzelsoftware te creëren;
  • Vermijd te klikken op nep pop-ups waarin u wordt gevraagd om software-updates te installeren. Zoals u waarschijnlijk weet, infecteerde het beschreven virus duizenden slachtoffers door valse Adobe Flash Player-updates aan te leveren via aangetaste websites. Vergeet niet dat u alleen kunt vertrouwen op software-updates die door de officiële ontwikkelaar van die software worden geleverd!

Over de auteur

Olivia Morelli
Olivia Morelli

Malware analist...

Contact Olivia Morelli
Over het bedrijf Esolutions

Bron: https://www.2-spyware.com/files-encrypted-by-bad-rabbit-can-be-recovered-researchers-say

Lezen in een andere taal

  Ficheiros encriptados pelo Bad Rabbit podem ser recuperados, dizem os investigadores
  Filer krypteret af Bad Rabbit kan gendannes, siger researchere
  Los archivos encriptados por Bad Rabbit pueden ser recuperados, dicen los investigadores
  Araştırmacılara göre Bad Rabbit ile şifrelenen dosyalar kurtarılabilir
  Uurijate sõnul on võimalik taastada Bad Rabbit poolt krüpteeritud faile
  Според изследователите файловете криптирани от Bad Rabbit могат да бъдат възстановени
  Cercetătorii spun că fişierele criptate de Bad Rabbit pot fi recuperate
  Datoteke enkriptirane od strane Bad Rabbita mogu se vratiti, kažu istraživači
  Bad Rabbit で暗号化されたファイルは復元可能とリサーチャーが発表
  A szakértők szerint a Bad Rabbit által titkosított fájlok megmenthetők
  研究人员说,被 Bad Rabbit 加密的文件是可以复原的
  Ειδικοί υποστηρίζουν ότι τα αρχεία που κρυπτογράφησε ο ιός Bad Rabbit μπορούν να ανακτηθούν
  Filer kryptert av Bad Rabbit kan gjenopprettes, sier forskere
  Tiedostot, jotka Bad Rabbit on salannut, voidaan tutkijoiden mukaan palauttaa
  Forskarna: Filer krypterade av Bad Rabbit kan återställas
  Baacze twierdzą, że pliki zaszyfrowane przez Bad Rabbit mogą być odzyskane
  Von Bad Rabbit verschlüsselte Dateien können wiederhergestellt werden, sagen Forscher
  Les fichiers cryptés par Bad Rabbit peuvent être restaurés, affirment les chercheurs
  Файлы зашифрованные Bad Rabbit могут быть восстановлены, говорят исследователи
  Gli esperti affermano che i file criptati da Bad Rabbit possono essere recuperati
  Files encrypted by Bad Rabbit can be recovered, researchers say
  Pētnieki saka – ar Bad Rabbit šifrētos failus ir iespējams atgūt

Deze invoer werd gepost op 2017-11-07 om 09:42 en is geklasseerd onder Nieuws, Virussen en parasieten

Bestanden
Software
Vergelijk
Anti-spyware vergelijking Vergelijk spyware verwijderaars
Net als ons op Facebook