Эксперты ЛК нашли способ восстановления зашифрованных Bad Rabbit файлов

Из-за малозначительных операционных ошибок, допущенных создателями Bad Rabbit, некоторые жертвы вымогателя могут вернуть себе свои файлы без уплаты требуемого выкупа. Об этом в пятницу, 27 октября, сообщили обнаружившие ошибки исследователи «Лаборатории Касперского».

Основная проблема заключается в том, что Bad Rabbit не удаляет с зараженной системы теневые копии. Вредонос создает копию файла, шифрует ее и удаляет оригинал. В тот момент все зашифрованные файлы считаются «в работе», и на диске сохраняются их копии, созданные службой теневого копирования Windows. Теневые (невидимые) копии хранятся на диске неопределенное время, в зависимости от наличия свободного места.

Большинство вымогательских программ удаляют теневые копии с целью предотвратить обнаружения копий оригинальных, незашифрованных файлов с помощью ПО для восстановления диска. Как пояснили эксперты ЛК, авторы Bad Rabbit не позаботились о функции удаления теневых копий. Наличие теневых копий еще не гарантирует жертве полное восстановление всех ее файлов, однако позволяет вернуть хотя бы часть документов.

Вторая обнаруженная исследователями ошибка связана с паролями для дешифровки файлов. Bad Rabbit шифрует файлы жертвы путем шифрования MFT и заменяет главную загрузочную запись собственным экраном загрузки. На данном экране отображается значение «personal installation key#1», которое жертва должна указать на сайте злоумышленников после уплаты выкупа и получения ключа для дешифровки.

Экспертам ЛК удалось получить генерируемый вредоносом пароль во время отладки. Эксперты попытались использовать его после блокировки и перезагрузки зараженной системы. Ключ сработал, и процесс загрузки продолжился. К сожалению, метод позволяет обойти только кастомизированный загрузчик. После загрузки ОС файлы все равно остаются зашифрованными.

Исследователям также удалось обнаружить уязвимость в коде dispci.exe. Как оказалось, вредонос не стирает сгенерированный пароль из памяти, а значит, существует небольшая вероятность получения пароля до завершения процесса dispci.exe. Проблема заключается в том, что после перезагрузки компьютера пароль стирается из памяти, и получить его без уплаты выкупа уже нельзя.

Служба теневого копирования тома (Volume Shadow Copy Service) – служба ОС Windows, позволяющая копировать файлы, с которыми в данный момент времени ведется работа, в том числе с системными и заблокированными файлами. Необходима для программ восстановления системы и архивации (Paragon Drive Backup, Acronis True Image, Leo Backup R Drive Image и другие).

MFT (Master File Table – «Главная файловая таблица») – база данных о содержимом тома с файловой системой NTFS, представляющая собой таблицу, строки которой соответствуют файлам тома, а столбцы – атрибутам файлов.

Главная загрузочная запись (MBR) – код и данные, необходимые для последующей загрузки операционной системы и расположенные в первых физических секторах (чаще всего в самом первом) на жестком диске или другом устройстве хранения информации.

Источник