بازیابی اسناد رمزشده با باج‌افزار خرگوش بد بدون پرداخت باج!

برخی از قربانیان حمله‌ی باج‌افزار خرگوش بد یا Bad Rabbit، ممکن است بتوانند بدون پرداخت باج پرونده‌های رمزنگاری‌شده توسط این باج‌افزار را بازیابی کنند.
این مسأله توسط پژوهش‌گران آزمایشگاه کسپرسکی آشکار شده است، این پژوهش‌گران عملکرد توابع رمزنگاری پیاده‌سازی شده توسط این باج‌افزار را تجزیه و تحلیل کرده‌اند.
هنگامی که باج‌افزار خرگوش بد یک رایانه را آلوده می‌کند، انواع خاصی از پرونده و همچنین دیسک را رمزنگاری می‌کند و وقتی رایانه دوباره راه‌اندازی شد یک یادداشت باج‌خواهی نمایش می‌دهد. در واقع کاری مشابه با آن‌چه همه‌ی باج‌افزار‌ها انجام می‌دهند.
خرگوش بد از کتابخانه‌ی متن‌باز DiskCryptor برای رمزنگاری پرونده‌های کاربر استفاده می‌کند.
براساس تجزیه و تحلیل مقدماتی منتشرشده توسط کارشناسان آزمایشگاه امنیتی CSE Cybsec Zlab، نویسندگان این باج‌افزار احتمالاً از برخی قطعات کد باج‌افزار نات‌پتیا استفاده کرده‌ و پیچیدگی کد را افزایش داده و خطاهایی که نات‌‌پتیا را از یک باج‌افزار به یک پاک‌کننده تبدیل کرده بود را رفع کرده‌اند.
اکنون محققان آزمایشگاه کسپرسکی کشف کرده‌اند که پرونده‌های رمزنگاری‌شده به وسیله‌ی خرگوش بد با پیروی از رویه‌های خاصی بازیابی می‌شوند.
هنگامی که رایانه‌ی قربانی راه‌اندازی شد، قربانیان مطلع می‌شوند که پرونده‌های آن‌ها توسط باج‌افزار خرگوش بد رمزنگاری شده‌اند، و کد مخرب دستورالعمل پرداخت باج برای دریافت کلید رمزگشایی را ارائه می‌کند.
پژوهش‌گران آزمایشگاه کسپراسکی گزارش داده‌اند که باج‌افزار خرگوش بد از همان صفحه‌ای که پیغام باج را نمایش می‌دهد، استفاده می‌کند تا کاربر کلید رمزگشایی را وارد نماید و با راه‌اندازی مجدد سامانه پرونده‌ها به حالت عادی بازگردند. بنابراین ممکن است نسخه‌ای از گذرواژه‌ای که برای رمزگذاری استفاده شده است در حافظه موجود باشد،‌البته واقعاً شانس کمی وجود دارد که این گذرواژه قابل بازیابی باشد.
کارشناسان همچنین کشف کردند که خرگوش بد رونوشت‌های موجود از پرونده‌های موجود رد سامانه را پاک نمی‌کند، و این به قربانیان اجازه می‌دهد تا پرونده‌ها را از طریق قابلیت پشتیبان‌گیری ویندوز بازیابی کنند.
در واقع ویندوز یک ویژگی به نام Shadow Copy یا VSS دارد که امکان پشتیبان‌گیری از پرونده‌های سامانه را بدون نیاز به نرم‌افزار شخص ثالث به کاربر می‌دهد.
در یک تجزیه و تحلیل انجام شده توسط پژوهش‌گران کسپرسکی آمده است: «ما کشف کردیم که خرگوش بد پس از رمزنگاری پرونده‎های قربانی، رونوشت این پرونده‌ها را پاک نمی‌کند. این بدان معنی است که اگر ویژگی Shaodw Copy پرونده‌ها قبل از آلودگی فعال شده باشد و اگر رمزنگاری دیسک بنابر دلایلی به طور کامل انجام نشده باشد، قربانی می‌تواند نسخه‎های اصلی پرونده‌های رمزنگاری شده را به وسیله‌ی سازوکارهای استاندارد ویندوز یا نرم‌افزار شخص ثالث برای بازگردانی پرونده‌های Shadow Copy بازیابی نمایند.»

کانال اخبار فناوری اطلاعات نماد امن

منبع: asis

درباره نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.