Neke žrtve ransomwarea Bad Rabbit mogu spasiti svoje fajlove baz plaćanja otkupa

Opisi virusa, 30.10.2017, 10:00 AM

Neke žrtve ransomwarea Bad Rabbit mogu spasiti svoje fajlove baz plaćanja otkupa

Neke žrtve ransomwarea Bad Rabbit mogle bi spasiti svoje zarobljene fajlove zbog grešaka koje su napravili autori malvera. Greške su otkrili istraživači iz Kaspersky Laba koji kažu da u načinu rada Bad Rabbita postoje greške koje za žrtve mogu biti spasonosne.

Najveća greška je to što Bad Rabbit ne briše Shadow Volume kopije. To je tehnologija koju koristi Windows koji pravi snimke fajlova dok su oni u upotrebi.

Bad Rabbit pravi kopiju fajla, šifruje kopiju i briše originalni fajl. To znači da su svi šifrovani fajlovi bili "u upotrebi" i da su napravljena Shadow Volume kopije. Ove nevidljive kopije se čuvaju na disku neko vreme u zavisnosti od raspoloživog slobodnog prostora.

Većina ransomwarea briše ove kopije da bi sprečili softver za oporavak diska da nađe kopije originalnih, šifrovanih fajlova.

Upravo to nisu primenili autori Bad Rabbita. S obzirom da žrtvama niko ne garantuje da će im fajlovi biti vraćeni, dobro je da postoji mogućnost da vrate neke od fajlova na ovaj način.

Druga greška koju su otkrili istraživači iz Kaspersky Laba tiče se lozinki za dešifrovanje.

Bad Rabbit šifruje fajlove, šifruje MFT (Master File Table) i zamenjuje MBR (Master Boot Record) svojim ekranom koji žrtva vidi prilikom pokretanja računara.

Na tom ekranu Bad Rabbit prikazuje vrednost ličnog instalacionog ključa koji žrtva mora da unese na Tor sajt kada plati otkup i dobije ključ za dešifrovanje.

Istraživači iz Kaspersky Laba uspeli su da izvuku lozinku koju je generisao malver i tu lozinku su pokušali da unesu kada je sistem posle restartovanja bio zaključan. "Lozinka je funkcionisala i proces pokretanja ja nastavljen", kažu istraživači.

Nažalost, na ovaj način samo se zaobilazi bootloader malvera, i kada se proces pokretanja okonča, žrtva će i dalje imati problem sa šifrovanim fajlovima. Srećom, istraživači su pronašli grešku u kodu dispci.exe: malver ne briše generisanu lozinku iz memorije, što znači da postoji, istina mala, ali ipak šansa da se lozinka izvuče pre nego što se proces dispci.exe prekine.

Problem nastaje ako korisnik restartuje računar. Lozinka se briše iz memorije, a sa tim nestaju i šanse za vraćanje fajlova bez plaćanja otkupa.

Slična greška je proletos otkrivena i u ransomwareau WannaCry, ali je retko korišćena u infekcijama u stvarnom svetu. Ovakvu vrstu grešaka mogu iskoristiti samo istraživači i to u test okruženjima, ali retko u stvarnom svetu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje

Sajber-kriminalci nude lažni dekripter koji još jednom šifruje već šifrovane fajlove žrtava ransomwarea

Sajber-kriminalci nude lažni dekripter koji još jednom šifruje već šifrovane fajlove žrtava ransomwarea

Lažni dekripter za STOP Djvu Ransomware nudi se očajnim ljudima uz obećanje da će im besplatno dešifrovati fajlove. Umesto da svoje fajlove vrat... Dalje