Forskarna: Filer krypterade av Bad Rabbit kan återställas

Offer för utpressningsviruset Bad Rabbit har nu en chans att återställa sina filer

Goda nyheter för alla Bad Rabbit-offer: en teknisk analys, utförd av Kaspersky, visar att detta utpressningsvirus har ett flertal brister som gör att offer kan återställa sina filer gratis.

Först verkade det som att denna uppdaterade variant av NotPetya var ett finslipat datakrypteringsvirus som använde en kombination av algoritmerna AES-128-CBC och RSA-2048, men vidare analys har visat att dess källkod faktiskt innehåller en del fel.

Det verkar som att detta ökända virus som först slog till mot ryska och ukrainska datoranvändare den 24 oktober hade en brist i sin källkod. Den saknade en funktion för att radera volymskuggkopior, vilka kan användas för att återställa filer som har skadats av skadliga virus.

Dataåterställningen är dock endast möjlig på ett villkor. Viruset måste misslyckas med att utföra en fullständig kryptering. Detta betyder att viruset måste avbrytas så att det inte hinner utföra sina aktiviteter korrekt.

Bad Rabbit, till skillnad mot NotPetya, är ingen ”wiper”

Då virusforskare redan har hittat kopplingen mellan NotPetya (även kallat ExPetr) och Bad Rabbit, började de också att studera skillnaderna mellan dessa två virus. Enligt experterna är detta nya utpressningsvirus en förbättrad variant av Petya-viruset som skakade om användarna i en attack den 27:e juni 2017. Petya visade sig vara en ”wiper”, medan Bad Rabbit fungerar som ett utpressningsvirus som krypterar filer.

Det har visat sig att källkoden hos DiskCoder.D (Bad Rabbit) är byggd med syftet att ha tillgång till det dekrypteringslösenord som används för att korrumpera hårddisken.

Efter att krypterat offrets filer, modifierar viruset huvudstartsektorn och startar om datorn för att visa ett utpressningsmeddelande med en “personal installation key#1” (”personlig installationsnyckel”) på skärmen. Nyckeln är avkodad med binärsökningsalgoritmerna RSA-2048 och base64. Dessa algoritmer innehåller en viss typ av information om offrets dator.

Dock är ID-numret inte den AES-nyckel som används för att kryptera datan på hårddisken utan fungerar bara som identifierare för olika angripna PC-datorer.

Forskare från Kaspersky menar att de har extraherat lösenordet som har skapats av viruset under avbuggningen och angett det under “personal installation key#1”. Lösenordet låste upp systemet och tillät det att starta. Dock förblev offrets krypterade filer otillgängliga.

För att dekryptera dem, krävs en unik RSA-2048-nyckel. De symetriska krypteringsnycklarna är skapade separat, vilket gör att det är omöjligt att knäcka dem. Att försöka använda brute-force-metoden kommer också att ta mycket lång tid.

Experterna har också upptäckt ett fel i dispci.exe-processen som används av viruset. Det verkar som att viruset inte raderar det genererade lösenordet från minnet, så därför är det möjligt att återställa det innan processen avslutar sig själv. Tyvärr är detta knappast möjligt i verkligheten eftersom offer ofta startar om sina datorer några gånger.

Håll din dator säker genom förebyggande åtgärder

Nätsäkerhetsexperter säger att dessa upptäckter bara ger en liten chans att återställa krypterade filer. De varnar också för att alla typer av utpressningsvirus är mycket farliga och att det enda sättet för att hålla din data skyddad är att vidta vissa förebyggande åtgärder. Därför har vårt team utarbetat en kort guide för hur du skyddar ditt system mot Bad Rabbit och liknande utpressningsvirus:

• Installera ett tillförlitligt säkerhetsprogram och håll det ständigt uppdaterat;
• Skapa en säkerhetskopia av din data;
• Överväg att skapa ditt eget “vaccin” mot Bad Rabbit;
• Undvik att klicka på falska popupp-meddelanden som uppmanar dig att installera programuppdateringar. Som du säkert känner till, har det beskrivna viruset infekterat tusentals datorer via falska Adobe Flash Player-uppdateringar på angripna webbsidor. Förlita dig endast på programuppdateringar från den officiella programutvecklaren!