برخی از قربانیان حمله باجافزار خرگوش بد (Bad Rabbit)، ممکن است بتوانند بدون پرداخت باج پروندههای رمزنگاریشده توسط این باجافزار را بازیابی کنند.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
برخی از قربانیان حمله باجافزار خرگوش بد (Bad Rabbit)، ممکن است بتوانند بدون پرداخت باج پروندههای رمزنگاریشده توسط این باجافزار را بازیابی کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران آزمایشگاه عملکرد توابع رمزنگاری پیادهسازی شده توسط باجافزار Bad Rabbit را تجزیهوتحلیل کردهاند.
هنگامی که این باجافزار یک رایانه را آلوده میکند، انواع خاصی از پرونده و همچنین دیسک را رمزنگاری میکند و وقتی رایانه دوباره راهاندازی شد یک یادداشت باجخواهی نمایش میدهد. در واقع کاری مشابه با آنچه همه باجافزارها انجام میدهند.
Bad Rabbit از کتابخانهی متنباز DiskCryptor برای رمزنگاری پروندههای کاربر استفاده میکند. بر اساس تجزیهوتحلیل مقدماتی منتشرشده توسط کارشناسان آزمایشگاه امنیتی CSE Cybsec Zlab، نویسندگان این باجافزار احتمالاً از برخی قطعات کد باجافزار ناتپتیا استفاده کردند و پیچیدگی کد را افزایش دادند و خطاهایی که ناتپتیا را از یک باجافزار به یک پاککننده تبدیل کردهبود از بین بردند.
اکنون محققان آزمایشگاه کسپرسکی کشف کردهاند که پروندههای رمزنگاریشده بهوسیله خرگوش بد با پیروی از رویههای خاصی بازیابی میشوند. هنگامی که رایانه قربانی راهاندازی شد، قربانیان مطلع میشوند که پروندههای آنها توسط باجافزار خرگوش بد رمزنگاری شدهاند، و کد مخرب دستورالعمل پرداخت باج برای دریافت کلید رمزگشایی را ارائه میکند.
پژوهشگران آزمایشگاه کسپراسکی گزارش دادهاند که باجافزار خرگوش بد از همان صفحهای که پیغام باج را نمایش میدهد، استفاده میکند تا کاربر کلید رمزگشایی را وارد کند و با راهاندازی مجدد سامانه پروندهها به حالت عادی بازگردند، بنابراین ممکن است نسخهای از گذرواژهای که برای رمزگذاری استفاده شدهاست در حافظه موجود باشد، البته واقعاً شانس کمی وجود دارد که این گذرواژه قابل بازیابی باشد.
کارشناسان همچنین کشف کردند که خرگوش بد رونوشتهای موجود از پروندههای موجود رد سامانه را پاک نمیکند و این به قربانیان اجازه میدهد تا پروندهها را از طریق قابلیت پشتیبانگیری ویندوز بازیابی کنند.
در واقع ویندوز یک ویژگی به نام Shadow Copy یا VSS دارد که امکان پشتیبانگیری از پروندههای سامانه را بدون نیاز به نرمافزار شخص ثالث به کاربر میدهد.
در یک تجزیهوتحلیل انجام شده توسط پژوهشگران کسپرسکی آمدهاست: «ما کشف کردیم که خرگوش بد پس از رمزنگاری پروندههای قربانی، رونوشت این پروندهها را پاک نمیکند. این بدان معنی است که اگر ویژگی Shaodw Copy پروندهها قبل از آلودگی فعال شدهباشد و اگر رمزنگاری دیسک بنابر دلایلی بهطور کامل انجام نشدهباشد، قربانی میتواند نسخههای اصلی پروندههای رمزنگاری شده را بهوسیله سازوکارهای استاندارد ویندوز یا نرمافزار شخص ثالث برای بازگردانی پروندههای Shadow Copy بازیابی کنند.»