Neke žrtve ransomwarea Bad Rabbit mogu spasiti svoje fajlove baz plaćanja otkupa

Opisi virusa, 30.10.2017, 10:00 AM

Neke žrtve ransomwarea Bad Rabbit mogu spasiti svoje fajlove baz plaćanja otkupa

Neke žrtve ransomwarea Bad Rabbit mogle bi spasiti svoje zarobljene fajlove zbog grešaka koje su napravili autori malvera. Greške su otkrili istraživači iz Kaspersky Laba koji kažu da u načinu rada Bad Rabbita postoje greške koje za žrtve mogu biti spasonosne.

Najveća greška je to što Bad Rabbit ne briše Shadow Volume kopije. To je tehnologija koju koristi Windows koji pravi snimke fajlova dok su oni u upotrebi.

Bad Rabbit pravi kopiju fajla, šifruje kopiju i briše originalni fajl. To znači da su svi šifrovani fajlovi bili "u upotrebi" i da su napravljena Shadow Volume kopije. Ove nevidljive kopije se čuvaju na disku neko vreme u zavisnosti od raspoloživog slobodnog prostora.

Većina ransomwarea briše ove kopije da bi sprečili softver za oporavak diska da nađe kopije originalnih, šifrovanih fajlova.

Upravo to nisu primenili autori Bad Rabbita. S obzirom da žrtvama niko ne garantuje da će im fajlovi biti vraćeni, dobro je da postoji mogućnost da vrate neke od fajlova na ovaj način.

Druga greška koju su otkrili istraživači iz Kaspersky Laba tiče se lozinki za dešifrovanje.

Bad Rabbit šifruje fajlove, šifruje MFT (Master File Table) i zamenjuje MBR (Master Boot Record) svojim ekranom koji žrtva vidi prilikom pokretanja računara.

Na tom ekranu Bad Rabbit prikazuje vrednost ličnog instalacionog ključa koji žrtva mora da unese na Tor sajt kada plati otkup i dobije ključ za dešifrovanje.

Istraživači iz Kaspersky Laba uspeli su da izvuku lozinku koju je generisao malver i tu lozinku su pokušali da unesu kada je sistem posle restartovanja bio zaključan. "Lozinka je funkcionisala i proces pokretanja ja nastavljen", kažu istraživači.

Nažalost, na ovaj način samo se zaobilazi bootloader malvera, i kada se proces pokretanja okonča, žrtva će i dalje imati problem sa šifrovanim fajlovima. Srećom, istraživači su pronašli grešku u kodu dispci.exe: malver ne briše generisanu lozinku iz memorije, što znači da postoji, istina mala, ali ipak šansa da se lozinka izvuče pre nego što se proces dispci.exe prekine.

Problem nastaje ako korisnik restartuje računar. Lozinka se briše iz memorije, a sa tim nestaju i šanse za vraćanje fajlova bez plaćanja otkupa.

Slična greška je proletos otkrivena i u ransomwareau WannaCry, ali je retko korišćena u infekcijama u stvarnom svetu. Ovakvu vrstu grešaka mogu iskoristiti samo istraživači i to u test okruženjima, ali retko u stvarnom svetu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi vid... Dalje

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Posle zatišja od skoro dva meseca, botnet Emotet se vratio izmenjen i sa kampanjom koja dnevno pogađa 100 000 ciljeva. Emotet se pojavio 2014. godin... Dalje

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Sezona praznične kupovine uskoro počinje, pa ne bi bilo loše imati na umu novi malver koji krade podatke sa platnih kartica, koristeći steganograf... Dalje