Ficheiros encriptados pelo Bad Rabbit podem ser recuperados, dizem os investigadores

Vítimas do ransomware Bad Rabbit poderão ter uma hipótese de recuperar os seus dados

Boas notícias para todas as vítimas do ransomware Bad Rabbit: análises técnicas ao ransomware Bad Rabbit pelo Kaspersky revelaram que o malware tem várias falhas que permitem às vítimas recuperar os seus ficheiros gratuitamente.

Primeiramente parece que a variante atualizada do Petya é um polido vírus encriptador de ficheiros que combina as cifras AES-128-CBC e RSA-2048, mas análises mais profundas revelaram que o seu código de origem contém na verdade alguns erros.

Parece que o famoso ransomware que atacou primeiro os utilizadores de computador Russos e Ucranianos a 24 de Outubro tinha uma falha no seu código de origem: não continha uma função para eliminar Cópias de Volume Sombra, que podem ser usadas para restaurar ficheiros danificados por programas maliciosos.

Todavia, a recuperação dos dados é possível com uma condição. Tem de falhar a total encriptação do disco. Significa que o vírus tem de ser interrompido e falhar em completar todas as tarefas corretamente.

O Bad Rabbit, ao contrário do NotPetya, não é um limpador

Uma vez que os analistas de malware já encontraram ligações entre o NotPetya (também conhecido por ExPetr) e o Bad Rabbit,, também acentuaram as diferenças entre estes dois vírus. De acordo com os peritos, o novo ransomware é uma variante melhorada do vírus Petya que abanou a comunidade virtual em Junho de 2017. O vírus usado no ataque cibernético de 27 de Junho era na verdade um limpador, enquanto que o Bad Rabbit funciona como um ransomware encriptador de dados.

Acontece que o código de origem do DiskCoder.D (Bad Rabbit) é construído com a intenção de obter acesso à palavra-passe de desencriptação usada para a corrupção do disco.

Após codificar os ficheiros das vítimas, o ransomware modifica o Master Boot Record e reinicia o computador para exibir uma nota de resgate com uma “chave pessoal de instalação#1” no ecrã. Esta chave é codificada usando a estrutura binária encriptada RSA-2048 e base64. Esta estrutura contém certos tipos de informação sobre o computador da vítima.

No entanto, o ID não é a chave AES usada para encriptar os dados no disco e apenas funciona como identificador para diferentes PC's comprometidos.

Investigadores da Kaspersky afirmam que extraíram a palavra-passe criada pelo malware durante a sessão de depuração e inseriram-na abaixo da “chave pessoal de instalação #1”. A palavra-passe desbloqueou o sistema e permitiu que iniciasse. Porém, os ficheiros encriptados nas pastas da vítima permaneceram inalcançáveis.

Para desencriptá-los, é requerida uma chave RSA-2048 única. Deve dizer-se que as chaves de encriptação simétricas são criadas separadamente, tornando impossível de adivinhar. Tentativas de forçá-las levaria uma eternidade.

Além disso, os peritos descobriram um erro no processo dispci.exe usado pelo vírus. Parece que o vírus não elimina a palavra-passe gerada da memória, portanto a recuperação da mesma antes que o processo termine é possível. Infelizmente, isto é dificilmente possível em situações de vida real porque as vítimas tendem a reiniciar os seus computadores algumas vezes.

A prevenção é a melhor abordagem para controlar a segurança dos seus dados

Os peritos em segurança cibernética dizem que estas descobertas apenas dão uma ligeira hipótese para recuperar ficheiros encriptados. Avisam também que qualquer tipo de ransomware é extremamente perigoso e que a única forma de manter os seus dados protegidos é tentar o melhor que puder manter este tipo de vírus afastado. Assim sendo, a nossa equipa preparou um curto guia sobre como manter o seu sistema protegido contra o Bad Rabbit ou ataque ransomware semelhante:

• Instale um software de segurança confiável e instale atualizações atempadamente;
• Considere criar a sua própria “vacina” para o ransomware Bad Rabbit;
• Evite clicar em falsos pop-ups que incitem a instalação de atualizações. Como provavelmente deve saber, o vírus descrito infetou milhares de vítimas ao forçar atualizações do Adobe Flash Player através de websites comprometidos. Lembre-se que pode confiar apenas em atualizações de software providenciadas pelo programador oficial do software!