مرکز تخصصی آپا
بازیابی فایلهای رمز شده توسط خرگوش بد
خلاصه: فایلهای رمز شده توسط خرگوش بد قابل بازیابی بدون پرداخت باج هستند. بعضی از قربانیان حملهی خرگوش بد احتمالاً قادر به بازیابی فایلهای رمز شدهشان خواهند بود. کسپراسکی متوجه شد که خرگوش بد از یک اسکرین یکسان برای اجازه دادن به قربانیان برای وارد کردن کلید رمزگشایی و بوت سیستمشان استفاده میکند. بنابراین محققان بدافزار متوجه شدند که کلید رمزگشایی از حافظه پاک نشده است.
فایلهای رمز شده توسط خرگوش بد قابل بازیابی بدون پرداخت باج هستند. بعضی از قربانیان حملهی خرگوش بد احتمالاً قادر به بازیابی فایلهای رمز شدهشان خواهند بود. این کشف توسط محققان آزمایشگاه کسپراسکی در حالی که عملکرد رمزنگاری پیادهسازی شده توسط این باجافزار را تحلیل میکردند انجام شده است.
هر بار که باجافزار یک کامپیوتر را آلوده میکند نوع خاصی از فایلها را رمزنگاری کرده و همچنین دیسک را رمزنگاری میکند و وقتی که کامپیوتر بوت میشود یک نوشتهی درخواست باج نمایش را نمایش میدهد.
خرگوش بد از کتابخانهی متن باز DiskCryptor به منظور رمز کردن فایلهای کاربر استفاده میکند. براساس تحلیلهای منتشر شده توسط محققان این باجافزار از قسمتهایی از کد NotPetya استفاده میکند که پیچیدگی کد را افزایش میدهد و خطاهای کدی که NotPetya را از یک باجافزار به یک Wiper تبدیل میکرد را رفع میکند.
اکنون محققان دریافتهاند که فایلهای رمز شده توسط این باجافزار با استفاده از روشهای خاص زیر قابل بازیابی هستند.
زمانی که کامپیوتر آلوده شده بوت میشود، قربانیان باخبر میشوند که فایلهایشان توسط خرگوش بد رمزگذاری شده و کد مخرب ساختاری را برای کامل کردن پرداخت جهت به دست آوردن کلید رمزگشایی فراهم میکند.
کسپراسکی متوجه شد که خرگوش بد از یک اسکرین یکسان برای اجازه دادن به قربانیان برای وارد کردن کلید رمزگشایی و بوت سیستمشان استفاده میکند. بنابراین محققان بدافزار متوجه شدند که کلید رمزگشایی از حافظه پاک نشده است.
متأسفانه شانس کمی وجود دارد که قربانیان بتوانند پسورد را استخراج کنند.
متخصصان همچنین کشف کردند که خرگوش بد کپیهای پنهان را پاک نمیکنند که این به قربانیان امکان بازگردانی فایلها از طریق این عملکرد پشتیبانگیری ویندوز را میدهد.
