Neke žrtve ransomwarea Bad Rabbit mogu spasiti svoje fajlove baz plaćanja otkupa

Opisi virusa, 30.10.2017, 10:00 AM

Neke žrtve ransomwarea Bad Rabbit mogu spasiti svoje fajlove baz plaćanja otkupa

Neke žrtve ransomwarea Bad Rabbit mogle bi spasiti svoje zarobljene fajlove zbog grešaka koje su napravili autori malvera. Greške su otkrili istraživači iz Kaspersky Laba koji kažu da u načinu rada Bad Rabbita postoje greške koje za žrtve mogu biti spasonosne.

Najveća greška je to što Bad Rabbit ne briše Shadow Volume kopije. To je tehnologija koju koristi Windows koji pravi snimke fajlova dok su oni u upotrebi.

Bad Rabbit pravi kopiju fajla, šifruje kopiju i briše originalni fajl. To znači da su svi šifrovani fajlovi bili "u upotrebi" i da su napravljena Shadow Volume kopije. Ove nevidljive kopije se čuvaju na disku neko vreme u zavisnosti od raspoloživog slobodnog prostora.

Većina ransomwarea briše ove kopije da bi sprečili softver za oporavak diska da nađe kopije originalnih, šifrovanih fajlova.

Upravo to nisu primenili autori Bad Rabbita. S obzirom da žrtvama niko ne garantuje da će im fajlovi biti vraćeni, dobro je da postoji mogućnost da vrate neke od fajlova na ovaj način.

Druga greška koju su otkrili istraživači iz Kaspersky Laba tiče se lozinki za dešifrovanje.

Bad Rabbit šifruje fajlove, šifruje MFT (Master File Table) i zamenjuje MBR (Master Boot Record) svojim ekranom koji žrtva vidi prilikom pokretanja računara.

Na tom ekranu Bad Rabbit prikazuje vrednost ličnog instalacionog ključa koji žrtva mora da unese na Tor sajt kada plati otkup i dobije ključ za dešifrovanje.

Istraživači iz Kaspersky Laba uspeli su da izvuku lozinku koju je generisao malver i tu lozinku su pokušali da unesu kada je sistem posle restartovanja bio zaključan. "Lozinka je funkcionisala i proces pokretanja ja nastavljen", kažu istraživači.

Nažalost, na ovaj način samo se zaobilazi bootloader malvera, i kada se proces pokretanja okonča, žrtva će i dalje imati problem sa šifrovanim fajlovima. Srećom, istraživači su pronašli grešku u kodu dispci.exe: malver ne briše generisanu lozinku iz memorije, što znači da postoji, istina mala, ali ipak šansa da se lozinka izvuče pre nego što se proces dispci.exe prekine.

Problem nastaje ako korisnik restartuje računar. Lozinka se briše iz memorije, a sa tim nestaju i šanse za vraćanje fajlova bez plaćanja otkupa.

Slična greška je proletos otkrivena i u ransomwareau WannaCry, ali je retko korišćena u infekcijama u stvarnom svetu. Ovakvu vrstu grešaka mogu iskoristiti samo istraživači i to u test okruženjima, ali retko u stvarnom svetu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu s... Dalje

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Ransomware NetWalker pojavio se pre oko godinu dana, ali je tek ove godine postao ozbiljno ime u svetu sajber-kriminala, s obzirom da je od iznude "za... Dalje

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje