BadRabbit_ransom

Có thể khôi phục file bị Bad Rabbit tấn công mà không cần trả tiền chuộc

October 31, 2017 | vietsunshine

Sau khi phân tích chức năng mã hóa của Bad Rabbit, các nhà nghiên cứu cho biết một số người dùng có thể phục hồi các tệp tin được mã hóa mà không phải trả tiền chuộc.

Sau khi thiết bị bị lây nhiễm, Bad Rabbit sẽ tìm kiếm các loại tập tin nhất định và mã hóa chúng. Ổ cứng cũng được mã hóa và màn hình đòi tiền chuộc được khởi động, ngăn không cho nạn nhân truy cập vào hệ điều hành. Chức năng mã hóa và trình khởi động được cung cấp bởi mã có nguồn gốc từ một tiện ích hợp pháp tên là DiskCryptor.

Bad rabbit đã được liên kết với các cuộc tấn công NotPetya – nguyên nhân gây ra sự gián đoạn hoạt động cho nhiều công ty vào cuối tháng Sáu. Tuy nhiên không giống như NotPetya, người dùng bị tấn công bởi Bad Rabbit có thể phục hồi các file bằng các chìa khóa giải mã.

Trong khi Bad Rabbit sử dụng các cơ chế mã hóa AES-128-CBC và RSA-2048, là loại khổng thể bị cracked, các chuyên gia đã tìm ra một số phương pháp cho phép nạn nhân giải mã và phục hồi tập tin.

Khi một máy tính bị nhiễm khởi động, người dùng được thống báo rằng các tập tin của họ đã bị mà hóa và họ được hướng dẫn để thực hiện thanh toán để có được mật khẩu cần thiết cho giải mã. Màn hình tương tự cũng cho phép nạn nhân đã có mật khẩu để vào nó và khởi động hệ thống của họ.

Các nhà nghiên cứu phát hiện ra rằng mật khẩu cần thiết để khởi động hệ thống không bị xóa sau khi nó được tạo ra, cho phép người dùng có cơ hội trích xuất nó trước khi quá trình tạo mật khẩu. Nhập mật khẩu này khởi động hệ thống và giải mã đĩa, công ty bảo mật nói với SecurityWeek, nhưng chỉ có một “cơ hội nhỏ” mà nạn nhân thực sự có thể trích xuất mật khẩu

Đối với việc khôi phục các tệp tin, các chuyên gia nhận thấy rằng Bad Rabbit không xóa các bản sao “shadow”, đó là bản sao lưu của Windows. Nếu người dùng kích hoạt tính năng sao lưu này trước khi các tệp tin bị mã hóa thì dữ liệu có thể được phục hồi thông qua Windows hoặc các tiện ích của bên thứ ba.

Các nhà nghiên cứu cũng đã xác nhận rằng Bad Rabbit trên thực tế sử dung một khai thác liên quan đến NSA để lây lan và phần mềm độc hại là EternalRomance, tương tự NotPetya.

Dựa trên nhiều điểm tương đồng, cuộc tấn công Bad Rabbit được cho là đã được thực hiện bởi cùng một nhóm đã phát động chiến dịch NotPetya

Xem thêm:

Ransomware Bad Rabbit và cách phòng vệ

Tags: , , ,