События

Эксперты ЛК нашли способ восстановления зашифрованных Bad Rabbit файлов

Из-за малозначительных операционных ошибок, допущенных создателями Bad Rabbit, некоторые жертвы вымогателя могут вернуть себе свои файлы без уплаты требуемого выкупа. Об этом в пятницу, 27 октября, сообщили обнаружившие ошибки исследователи «Лаборатории Касперского».

Основная проблема заключается в том, что Bad Rabbit не удаляет с зараженной системы теневые копии. Вредонос создает копию файла, шифрует ее и удаляет оригинал. В тот момент все зашифрованные файлы считаются «в работе», и на диске сохраняются их копии, созданные службой теневого копирования Windows. Теневые (невидимые) копии хранятся на диске неопределенное время, в зависимости от наличия свободного места.

Большинство вымогательских программ удаляют теневые копии с целью предотвратить обнаружения копий оригинальных, незашифрованных файлов с помощью ПО для восстановления диска. Как пояснили эксперты ЛК, авторы Bad Rabbit не позаботились о функции удаления теневых копий. Наличие теневых копий еще не гарантирует жертве полное восстановление всех ее файлов, однако позволяет вернуть хотя бы часть документов.

Вторая обнаруженная исследователями ошибка связана с паролями для дешифровки файлов. Bad Rabbit шифрует файлы жертвы путем шифрования MFT и заменяет главную загрузочную запись собственным экраном загрузки. На данном экране отображается значение «personal installation key#1», которое жертва должна указать на сайте злоумышленников после уплаты выкупа и получения ключа для дешифровки.

Экспертам ЛК удалось получить генерируемый вредоносом пароль во время отладки. Эксперты попытались использовать его после блокировки и перезагрузки зараженной системы. Ключ сработал, и процесс загрузки продолжился. К сожалению, метод позволяет обойти только кастомизированный загрузчик. После загрузки ОС файлы все равно остаются зашифрованными.

Исследователям также удалось обнаружить уязвимость в коде dispci.exe. Как оказалось, вредонос не стирает сгенерированный пароль из памяти, а значит, существует небольшая вероятность получения пароля до завершения процесса dispci.exe. Проблема заключается в том, что после перезагрузки компьютера пароль стирается из памяти, и получить его без уплаты выкупа уже нельзя.

Служба теневого копирования тома (Volume Shadow Copy Service) – служба ОС Windows, позволяющая копировать файлы, с которыми в данный момент времени ведется работа, в том числе с системными и заблокированными файлами. Необходима для программ восстановления системы и архивации (Paragon Drive Backup, Acronis True Image, Leo Backup R Drive Image и другие).

MFT (Master File Table – «Главная файловая таблица») – база данных о содержимом тома с файловой системой NTFS, представляющая собой таблицу, строки которой соответствуют файлам тома, а столбцы – атрибутам файлов.

Главная загрузочная запись (MBR) – код и данные, необходимые для последующей загрузки операционной системы и расположенные в первых физических секторах (чаще всего в самом первом) на жестком диске или другом устройстве хранения информации.

Источник

Автор: Сергей Куприянов
28.10.2017 (12:27)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.