امکان بازیایی پرونده‌ها در حمله Bad Rabbit‎

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

q222

 


برخی از قربانیان حمله‌ باج‌افزار خرگوش بد (Bad Rabbit)، ممکن است بتوانند بدون پرداخت باج پرونده‌های رمزنگاری‌شده توسط این باج‌افزار را بازیابی کنند.

پژوهشگران آزمایشگاه عملکرد توابع رمزنگاری پیاده‌سازی شده توسط باج‌افزار Bad Rabbit را تجزیه‌وتحلیل کرده‌اند.

هنگامی که این باج‌افزار یک رایانه را آلوده می‌کند، انواع خاصی از پرونده و همچنین دیسک را رمزنگاری می‌کند و وقتی رایانه دوباره راه‌اندازی شد یک یادداشت باج‌خواهی نمایش می‌دهد. در واقع کاری مشابه با آنچه همه‌ باج‌افزار‌ها انجام می‌دهند.

Bad Rabbit از کتابخانه‌ی متن‌باز DiskCryptor برای رمزنگاری پرونده‌های کاربر استفاده می‌کند. بر اساس تجزیه‌و‌تحلیل مقدماتی منتشرشده توسط کارشناسان آزمایشگاه امنیتی CSE Cybsec Zlab، نویسندگان این باج‌افزار احتمالاً از برخی قطعات کد باج‌افزار نات‌پتیا استفاده کردند و پیچیدگی کد را افزایش دادند و خطاهایی که نات‌‌پتیا را از یک باج‌افزار به یک پاک‌کننده تبدیل کرده‌بود از بین بردند.

اکنون محققان آزمایشگاه کسپرسکی کشف کرده‌اند که پرونده‌های رمزنگاری‌شده به‌وسیله‌ خرگوش بد با پیروی از رویه‌های خاصی بازیابی می‌شوند. هنگامی که رایانه‌ قربانی راه‌اندازی شد، قربانیان مطلع می‌شوند که پرونده‌های آنها توسط باج‌افزار خرگوش بد رمزنگاری شده‌اند، و کد مخرب دستورالعمل پرداخت باج برای دریافت کلید رمزگشایی را ارائه می‌کند.

پژوهشگران آزمایشگاه کسپراسکی گزارش داده‌اند که باج‌افزار خرگوش بد از همان صفحه‌ای که پیغام باج را نمایش می‌دهد، استفاده می‌کند تا کاربر کلید رمزگشایی را وارد کند و با راه‌اندازی مجدد سامانه پرونده‌ها به حالت عادی بازگردند، بنابراین ممکن است نسخه‌ای از گذرواژه‌ای که برای رمزگذاری استفاده شده‌است در حافظه موجود باشد،‌ البته واقعاً شانس کمی وجود دارد که این گذرواژه قابل بازیابی باشد.

کارشناسان همچنین کشف کردند که خرگوش بد رونوشت‌های موجود از پرونده‌های موجود رد سامانه را پاک نمی‌کند و این به قربانیان اجازه می‌دهد تا پرونده‌ها را از طریق قابلیت پشتیبان‌گیری ویندوز بازیابی کنند.

در واقع ویندوز یک ویژگی به نام Shadow Copy یا VSS دارد که امکان پشتیبان‌گیری از پرونده‌های سامانه را بدون نیاز به نرم‌افزار شخص ثالث به کاربر می‌دهد.

در یک تجزیه‌وتحلیل انجام شده توسط پژوهشگران کسپرسکی آمده‌است: «ما کشف کردیم که خرگوش بد پس از رمزنگاری پرونده‎های قربانی، رونوشت این پرونده‌ها را پاک نمی‌کند. این بدان معنی است که اگر ویژگی Shaodw Copy پرونده‌ها قبل از آلودگی فعال شده‌باشد و اگر رمزنگاری دیسک بنابر دلایلی به‌طور کامل انجام نشده‌باشد، قربانی می‌تواند نسخه‎های اصلی پرونده‌های رمزنگاری شده را به‌وسیله‌ سازوکارهای استاندارد ویندوز یا نرم‌افزار شخص ثالث برای بازگردانی پرونده‌های Shadow Copy بازیابی کنند.»