کمیته رکن چهارم – برخی از قربانیان حملهی باجافزار خرگوش بد یا Bad Rabbit، ممکن است بتوانند بدون پرداخت باج پروندههای رمزنگاریشده توسط این باجافزار را بازیابی کنند.
این مسأله توسط پژوهشگران آزمایشگاه کسپرسکی آشکار شده است، این پژوهشگران عملکرد توابع رمزنگاری پیادهسازی شده توسط این باجافزار را تجزیه و تحلیل کردهاند.
هنگامی که باجافزار خرگوش بد یک رایانه را آلوده میکند، انواع خاصی از پرونده و همچنین دیسک را رمزنگاری میکند و وقتی رایانه دوباره راهاندازی شد یک یادداشت باجخواهی نمایش میدهد. در واقع کاری مشابه با آنچه همهی باجافزارها انجام میدهند.
خرگوش بد از کتابخانهی متنباز DiskCryptor برای رمزنگاری پروندههای کاربر استفاده میکند.
براساس تجزیه و تحلیل مقدماتی منتشرشده توسط کارشناسان آزمایشگاه امنیتی CSE Cybsec Zlab، نویسندگان این باجافزار احتمالاً از برخی قطعات کد باجافزار ناتپتیا استفاده کرده و پیچیدگی کد را افزایش داده و خطاهایی که ناتپتیا را از یک باجافزار به یک پاککننده تبدیل کرده بود را رفع کردهاند.
اکنون محققان آزمایشگاه کسپرسکی کشف کردهاند که پروندههای رمزنگاریشده به وسیلهی خرگوش بد با پیروی از رویههای خاصی بازیابی میشوند.
هنگامی که رایانهی قربانی راهاندازی شد، قربانیان مطلع میشوند که پروندههای آنها توسط باجافزار خرگوش بد رمزنگاری شدهاند، و کد مخرب دستورالعمل پرداخت باج برای دریافت کلید رمزگشایی را ارائه میکند.
پژوهشگران آزمایشگاه کسپراسکی گزارش دادهاند که باجافزار خرگوش بد از همان صفحهای که پیغام باج را نمایش میدهد، استفاده میکند تا کاربر کلید رمزگشایی را وارد نماید و با راهاندازی مجدد سامانه پروندهها به حالت عادی بازگردند. بنابراین ممکن است نسخهای از گذرواژهای که برای رمزگذاری استفاده شده است در حافظه موجود باشد،البته واقعاً شانس کمی وجود دارد که این گذرواژه قابل بازیابی باشد.
کارشناسان همچنین کشف کردند که خرگوش بد رونوشتهای موجود از پروندههای موجود رد سامانه را پاک نمیکند، و این به قربانیان اجازه میدهد تا پروندهها را از طریق قابلیت پشتیبانگیری ویندوز بازیابی کنند.
در واقع ویندوز یک ویژگی به نام Shadow Copy یا VSS دارد که امکان پشتیبانگیری از پروندههای سامانه را بدون نیاز به نرمافزار شخص ثالث به کاربر میدهد.
در یک تجزیه و تحلیل انجام شده توسط پژوهشگران کسپرسکی آمده است: «ما کشف کردیم که خرگوش بد پس از رمزنگاری پروندههای قربانی، رونوشت این پروندهها را پاک نمیکند. این بدان معنی است که اگر ویژگی Shaodw Copy پروندهها قبل از آلودگی فعال شده باشد و اگر رمزنگاری دیسک بنابر دلایلی به طور کامل انجام نشده باشد، قربانی میتواند نسخههای اصلی پروندههای رمزنگاری شده را به وسیلهی سازوکارهای استاندارد ویندوز یا نرمافزار شخص ثالث برای بازگردانی پروندههای Shadow Copy بازیابی نمایند.»
منبع : news.asis.io
