Декриптирането на заключените файлове с Bad Rabbit е възможно
Тази седмица бе извършена следващата рансъмуер акция към системи по света. За разлика от случаите с WannaCry и NotPetya, Bad Rabbit нямаше тази повсеместност, само че както и ESET без да прецизира уточни, става дума за стотици атакувани системи. По-голямата част от тези офанзиви бяха ориентирани към мрежи в Русия, само че също по този начин към България, Украйна, Съединени американски щати, Турция и други
Атаката носи белезите на извършената по-рано тази година акция с NotPetya, комплициран вид рансъмуер, който с изключение на, че криптира обособените файлове, криптира и диска. Оказа се, че опасността има повече сходства с NotPetya, в сравнение с се предполагаше, защото и тя се възползва от експлойт на АНС, съдействуващ за разпространяването ѝ в мрежата чрез SMB. Компании свързват офанзивата с APT (Advanced Persistent Threat) групировката Black Energy (наричани също TeleBots и Sandworm Team), оперираща най-малко от седем години и известна най-много с офанзивите към енергопреносната мрежа в Украйна. Оказва се обаче, че за разлика от NotPetya, който беше избран за кибероръжие, което бива употребявано за бойкот, защото възобновяване на данните е невероятно, при Bad Rabbit, това е допустимо. Твърдят го Kaspersky Lab, представени от Security Week.
Както към този момент беше упоменато, откакто криптира файловете по авансово заложен аршин, опасността криптира диска (с помощта на законната стратегия DiskCryptor) и системата се саморестартира. Специалистите са разкрили, че в случай че жертвата разполага с декриптиращ ключ, данните могат да бъдат избавени. Докато декриптиращите механизми, в тази ситуация – AES-128-CBC и RSA-2048 – не могат да бъдат разрушени, Kaspersky откриват, че в някои случаи,, връщането на данните е допустимо.
Оказва се, че паролата нужна за влизане в системата не е изтривана от паметта след нейното генериране, което прави допустимо извличането ѝ преди процеса, който генерира паролата, dispci.exe бъде преустановен. Набирайки паролата рестартира системата и декриптира диска. Все отново, означават те, шансът да бъде сполучливо извлечена паролата, не е огромен.
Що се отнася до възобновяване на файловете се оказва, че Bad Rabbit не изтрива shadow копията. Ако жертвата задейства тази функционалност преди криптирането на файловете, информацията може да се възвърне посредством Windows или с външна стратегия.
Атаката носи белезите на извършената по-рано тази година акция с NotPetya, комплициран вид рансъмуер, който с изключение на, че криптира обособените файлове, криптира и диска. Оказа се, че опасността има повече сходства с NotPetya, в сравнение с се предполагаше, защото и тя се възползва от експлойт на АНС, съдействуващ за разпространяването ѝ в мрежата чрез SMB. Компании свързват офанзивата с APT (Advanced Persistent Threat) групировката Black Energy (наричани също TeleBots и Sandworm Team), оперираща най-малко от седем години и известна най-много с офанзивите към енергопреносната мрежа в Украйна. Оказва се обаче, че за разлика от NotPetya, който беше избран за кибероръжие, което бива употребявано за бойкот, защото възобновяване на данните е невероятно, при Bad Rabbit, това е допустимо. Твърдят го Kaspersky Lab, представени от Security Week.
Както към този момент беше упоменато, откакто криптира файловете по авансово заложен аршин, опасността криптира диска (с помощта на законната стратегия DiskCryptor) и системата се саморестартира. Специалистите са разкрили, че в случай че жертвата разполага с декриптиращ ключ, данните могат да бъдат избавени. Докато декриптиращите механизми, в тази ситуация – AES-128-CBC и RSA-2048 – не могат да бъдат разрушени, Kaspersky откриват, че в някои случаи,, връщането на данните е допустимо.
Оказва се, че паролата нужна за влизане в системата не е изтривана от паметта след нейното генериране, което прави допустимо извличането ѝ преди процеса, който генерира паролата, dispci.exe бъде преустановен. Набирайки паролата рестартира системата и декриптира диска. Все отново, означават те, шансът да бъде сполучливо извлечена паролата, не е огромен.
Що се отнася до възобновяване на файловете се оказва, че Bad Rabbit не изтрива shadow копията. Ако жертвата задейства тази функционалност преди криптирането на файловете, информацията може да се възвърне посредством Windows или с външна стратегия.
Източник: kaldata.com
КОМЕНТАРИ