Bad Rabbit dienkripsi file dapat dipulihkan tanpa membayar tebusan

Computer Security News

Kaspersky peneliti melaporkan bahwa beberapa pengguna dapat memulihkan file yang dienkripsi Bad Rabbit tanpa membayar tebusan.

Setelah menginfeksi perangkat, ransomware Bad Rabbit pencarian untuk beberapa jenis file dan mengenkripsi mereka. Hard disk juga telah dienkripsi dan ketika PC Sepatu, catatan tebusan muncul di layar, mencegah korban mengakses sistem operasi.

Enkripsi disk dan bootloader fungsionalitas yang disediakan oleh kode berasal dari utilitas sah yang disebut DiskCryptor.

Pada bulan Juni, pakar keamanan terkait ransomware Bad Rabbit NotPetya serangan yang menyebabkan gangguan signifikan untuk banyak perusahaan. Namun, tidak seperti NotPetya, yang diklasifikasikan sebagai wiper karena fakta bahwa korban tidak dapat memulihkan file bahkan jika mereka membayar tebusan, Bad Rabbit dienkripsi file dapat dipulihkan dengan kunci dekripsi tepat.

Terlepas dari kenyataan bahwa mekanisme enkripsi AES-128-CBC dan RSA-2048 tidak retak, para peneliti dari Kaspersky Lab telah baru-baru ini menemukan beberapa metode yang mungkin membiarkan korban mendekripsi disk mereka dan memulihkan file yang dienkripsi.

Segera setelah boot komputer yang terinfeksi, pengguna akan diberitahu bahwa file telah dienkripsi dan mereka diperintahkan untuk melakukan pembayaran untuk mendapatkan password diperlukan untuk dekripsi. Layar yang sama juga memungkinkan korban yang telah diperoleh sandi masukkan dan boot sistem mereka.

Para ahli Kaspersky ditemukan bahwa setelah dibangkitkan, password diperlukan untuk boot sistem tersebut tidak dihapus dari memori, yang memberikan pengguna kesempatan untuk ekstrak sebelum proses yang menciptakan password – dispci.exe, diakhiri.

Menurut Kaspersky, yang dimasukkan, password boot sistem dan mendekripsi disk, namun, ada hanya “kesempatan ramping” bahwa korban akan benar-benar dapat mengekstrak password.

Mengenai file memulihkan, para peneliti melihat bahwa ransomware Bad Rabbit tidak menghapus salinan bayangan, backup yang dibuat oleh Windows. Jika pengguna diaktifkan fungsi cadangan ini sebelum file yang dienkripsi dan malware yang penuh fungsi enkripsi disk gagal untuk beberapa alasan atau disk adalah terdekrip menggunakan metode tersebut, data dienkripsi dapat dipulihkan melalui jendela atau utilitas pihak ketiga.

Selain itu, para ahli Kaspersky telah mengkonfirmasi bahwa Bad Rabbit benar-benar menggunakan mengeksploitasi NSA-linked untuk menyebar, sedangkan laporan sebelumnya menyatakan bahwa tidak ada eksploitasi telah dipelihara. Ancaman menggunakan EternalRomance, yang dimanfaatkan oleh NotPetya ransomware.

Mengingat semua kemiripan sejauh ini, para peneliti berpikir bahwa serangan Bad Rabbit telah dilakukan oleh kelompok hacker yang sama yang meluncurkan kampanye NotPetya, dikenal sebagai BlackEnergy, TeleBots dan tim Sandworm.


Leave a Reply

Your email address will not be published. Required fields are marked *