Uurijate sõnul on võimalik taastada Bad Rabbit poolt krüpteeritud faile

Bad Rabbit lunavara ohvritel võib olla võimalus oma andmete taastamiseks

Hea uudis kõikidele Bad Rabbit lunavara ohvritele – Kaspersky poolt läbi viidud tehniline Bad Rabbit lunavara analüüs paljastas, et pahavaral on mitmeid nõrkuseid, mistõttu on võimalik ohvritel faile tasuta taastada.

Esialgu näis, et NotPetya uuendatud versioon on viimistletud krüptoviirus, mis kasutab AES-128-CBC ja RSA-2048 kirjeid, kuid edasine analüüs üaljastas, et selle algkoodis on tegelikult mitu viga.

Näib, et kurikuulus lunavara, mis ründas Venemaa ja Ukraina arvutikasutajaid 24. oktoobril, sisaldab oma algkoodis viga – sellel polnud funktsiooni varikoopiate kustutamiseks, mida saab aga kasutada pahavaralise programmi poolt kahjustatud failide taastamiseks.

Andmete taastamine on aga võimalik ühel tingimusel. Viirusel ei tohi lasta kõvaketast täielikult krüpteerida. See tähendab, et viiruse tööd tuleb segada ja takistada selle kogu ülesande sooritamist.

Bad Rabbit, erinevalt NotPetya-st, ei tee puhast tööd

Kuna pahavarauurijad on juba leidnud sarnasusi NotPetya (tuntud ka kui ExPetr) ja Bad Rabbit vahel, kuid leiti ka kahe viiruse erinevused. Ekspertide sõnul on uus lunavara 2017. juunis virtuaalkogukonda raputanud Petya viiruse edasiarendatud versioon. 27. juuni rünnakus kasutatud viirus oli wiper-tüüpi, samas aga toimib Bad Rabbit nagu krüptoviirus.

Tuleb välja, et DiskCoder.D algkood (Bad Rabbit) on ehitatud eesmärgiga pääseda ligi dekrüpteerimisparoolile, mida kasutada kõvaketta nakatamiseks.

Pärast ohvri failide krüpteerimist muudab lunavara Master Boot kirje ja taaskäivitab arvuti, näidates lunavarateadet ““personal installation key#1” ekraanil. See võti on krüpteeritud RSA-2048 ja base64-krüpteerimisstruktuuri abil. See struktuur hoiab kasutaja arvuti kohta teatud andmeid.

ID ei ole aga AES võti, mida kasutati kõvakettal olevate andmete krüpteerimiseks ning see töötab üksnes identifitseerijana.

Kaspersku uurijad ütlesid, et nad suutsid teada saada parooli, mis loodi pahavara poolt ning see sisestati “personal installation key#1.” teatesse. Parool avas süsteemi ja võimaldas seda käivitada. Ohvri kaustades olevad failid jäid siiski krüpteerituks.

Nende failide dekrüpteerimiseks on vaja unikaalset RSA-2048 võtit. Krüpteerimisvõtmed luuakse eraldi, seega on võimatu neid ära arvata. Toore jõuga katsetamine võtaks samuti liialt kaua aega.

Eksperdid avastasid vea viiruse kasutatavas dispci.exe protsessis. Näib, et viirus ei kustuta genereeritud paroole mälust, seega on võimalik andmeid taastada, kui protsess pole lõpule viidud. Kahjuks ei ole see reaalselt eriti võimalik, kuna ohvrid kipuvad ikka arvutit taaskäivitama.

Parim viis andmete turvalisena hoidmiseks on ennetamine

Küberturbe eksperdid sõnavad, et need infokillud annavad vaid õhkõrna võimaluse krüpteeritud failide taastamiseks. Nad hoiatavad, et igat tüüpi lunavaraprogrammid on äärmiselt ohtlikud ning ainus viis, kuidas hoida oma arvutit kaitstuna, on hoida end viirustest eemale. Seepärast on siin ka paar nõuannet, kuidas enda arvuti süsteemi kaitsta Bad Rabbit ja teiste sarnaste lunavarade eest:

  • Laadi usaldusväärne turvaprogramm ja installeeri selle uuendused õigeaegselt;
  • Loo andmetest koopiad;
  • Loo omaenda “vaktsiin” Bad Rabbit lunavarale;
  • Ära klõpsa võltsidel hüpikakendel, mis ergutavad sind laadima tarkvarauuendusi. Nagu sa ehk juba tead, nakatas see viirus tuhandeid ohvreid, näidates võltsi Adobe Flash Player uuendust. Pea meeles, et sa saad usaldada ainult selliseid tarkvarauuendusi, mis on väljastatud programmi ametliku looja poolt!
Autori kohta
Loe teistes keeltes
Failid
Tarkvara
Võrdle