Ficheiros encriptados pelo Bad Rabbit podem ser recuperados, dizem os investigadores

Olivia Morelli de escrito por... - -

Vítimas do ransomware Bad Rabbit poderão ter uma hipótese de recuperar os seus dados

Victims of Bad Rabbit ransomware have a slight chance of recovering files for free

Boas notícias para todas as vítimas do ransomware Bad Rabbit: análises técnicas ao ransomware Bad Rabbit pelo Kaspersky revelaram que o malware tem várias falhas que permitem às vítimas recuperar os seus ficheiros gratuitamente.

Primeiramente parece que a variante atualizada do Petya é um polido vírus encriptador de ficheiros que combina as cifras AES-128-CBC e RSA-2048, mas análises mais profundas revelaram que o seu código de origem contém na verdade alguns erros.

Parece que o famoso ransomware que atacou primeiro os utilizadores de computador Russos e Ucranianos a 24 de Outubro tinha uma falha no seu código de origem: não continha uma função para eliminar Cópias de Volume Sombra, que podem ser usadas para restaurar ficheiros danificados por programas maliciosos.

Todavia, a recuperação dos dados é possível com uma condição. Tem de falhar a total encriptação do disco. Significa que o vírus tem de ser interrompido e falhar em completar todas as tarefas corretamente.

O Bad Rabbit, ao contrário do NotPetya, não é um limpador

Uma vez que os analistas de malware já encontraram ligações entre o NotPetya (também conhecido por ExPetr) e o Bad Rabbit,, também acentuaram as diferenças entre estes dois vírus. De acordo com os peritos, o novo ransomware é uma variante melhorada do vírus Petya que abanou a comunidade virtual em Junho de 2017. O vírus usado no ataque cibernético de 27 de Junho era na verdade um limpador, enquanto que o Bad Rabbit funciona como um ransomware encriptador de dados.

Acontece que o código de origem do DiskCoder.D (Bad Rabbit) é construído com a intenção de obter acesso à palavra-passe de desencriptação usada para a corrupção do disco.

Após codificar os ficheiros das vítimas, o ransomware modifica o Master Boot Record e reinicia o computador para exibir uma nota de resgate com uma “chave pessoal de instalação#1” no ecrã. Esta chave é codificada usando a estrutura binária encriptada RSA-2048 e base64. Esta estrutura contém certos tipos de informação sobre o computador da vítima.

No entanto, o ID não é a chave AES usada para encriptar os dados no disco e apenas funciona como identificador para diferentes PC's comprometidos.

Investigadores da Kaspersky afirmam que extraíram a palavra-passe criada pelo malware durante a sessão de depuração e inseriram-na abaixo da “chave pessoal de instalação #1”. A palavra-passe desbloqueou o sistema e permitiu que iniciasse. Porém, os ficheiros encriptados nas pastas da vítima permaneceram inalcançáveis. 

Para desencriptá-los, é requerida uma chave RSA-2048 única. Deve dizer-se que as chaves de encriptação simétricas são criadas separadamente, tornando impossível de adivinhar. Tentativas de forçá-las levaria uma eternidade.

Além disso, os peritos descobriram um erro no processo dispci.exe usado pelo vírus. Parece que o vírus não elimina a palavra-passe gerada da memória, portanto a recuperação da mesma antes que o processo termine é possível. Infelizmente, isto é dificilmente possível em situações de vida real porque as vítimas tendem a reiniciar os seus computadores algumas vezes.

A prevenção é a melhor abordagem para controlar a segurança dos seus dados

Os peritos em segurança cibernética dizem que estas descobertas apenas dão uma ligeira hipótese para recuperar ficheiros encriptados. Avisam também que qualquer tipo de ransomware é extremamente perigoso e que a única forma de manter os seus dados protegidos é tentar o melhor que puder manter este tipo de vírus afastado. Assim sendo, a nossa equipa preparou um curto guia sobre como manter o seu sistema protegido contra o Bad Rabbit ou ataque ransomware semelhante:

  • Instale um software de segurança confiável e instale atualizações atempadamente;
  • Considere criar a sua própria “vacina” para o ransomware Bad Rabbit;
  • Evite clicar em falsos pop-ups que incitem a instalação de atualizações. Como provavelmente deve saber, o vírus descrito infetou milhares de vítimas ao forçar atualizações do Adobe Flash Player através de websites comprometidos. Lembre-se que pode confiar apenas em atualizações de software providenciadas pelo programador oficial do software!

Sobre o autor

Olivia Morelli
Olivia Morelli

Analista de malware...

Fonte: https://www.2-spyware.com/files-encrypted-by-bad-rabbit-can-be-recovered-researchers-say

Ler noutras linguagens


Ficheiros
Software
Compare
Goste de nós no Facebook