Ειδικοί υποστηρίζουν ότι τα αρχεία που κρυπτογράφησε ο ιός Bad Rabbit μπορούν να ανακτηθούν

Οι χρήστες-θύματα που είδαν τα αρχεία τους να κρυπτογραφούνται από τον ιό Bad Rabbit, ίσως τελικά έχουν ελπίδες ανάκτησής τους

Απ' ό,τι φαίνεται, τα νέα είναι καλά για τους χρήστες που έπεσαν θύματα του επικίνδυνου ιού Bad Rabbit ransomware και είδαν τα πολύτιμα αρχεία τους να κρυπτογραφούνταιι από τον ιό. Πρόσφατη τεχνική ανάλυση του ιού Bad Rabbit ransomware από ομάδα ειδικών της Kaspersky αποκάλυψε ότι το συγκεκριμένο malware έχει εν τέλει 'αχίλλειο πτέρνα' και είναι δυνατή η δωρεάν ανάκτηση των κρυπτογραφημένων αρχείων, χωρίς δλδ. ο χρήστης να μπει στη δυσάρεστη και δυνητικά επικίνδυνη θέση να κάνει συναλλαγή πληρώνοντας τα λύτρα στους hackers.

Αρχικά, φαινόταν ότι η αναβαθμισμένη παραλλαγή του ιού NotPetya είναι ένας εξαιρετικά καλοδουλεμένος ιός κρυπτογραφήσεων, ο οποίος συνδυάζει εξαιρετικά τους προηγμένους αλγόριθμους κρυπτογραφήσεων AES-128-CBC και RSA-2048, δημιουργώντας 'γρανιτένιες' κρυπτογραφήσεις χωρίς την παραμικρή δυνατότητα 'σπασίματος' και εν τέλει αποκρυπτογράφησης. Ωστόσο, η τελευταία τεχνική ανάλυση εντόπισε 'αχίλλειο πτέρνα' στον πηγαίο κώδικα (source code) αυτού του ιού ransomware.

Φαίνεται ότι ο επικίνδυνος ιός ransomware που πρωτοχτύπησε συστήματα υπολογιστών σε Ρωσία και Ουκρανία στις 24 Οκτωβρίου είχε ένα σημαντικό τρωτό σημείο στον πηγαίο κώδικά του – δεν εμπεριείχε εντολή λειτουργίας για διαγραφή των Volume Shadow Copies. Θα πρέπει να σημειωθεί ότι τα Volume Shadow Copies μπορούν να χρησιμοποιηθούν για ανάκτηση αρχείων που έχουν κρυπτογραφηθεί από κακόβουλους ιούς ransomware.

Ωστόσο, τα κρυπτογραφημένα αρχεία μπορούν να ανακτηθούν υπό μία πολύ σημαντική προϋπόθεση. Ο ιός δεν πρέπει να έχει καταφέρει να προβεί σε κρυπτογράφηση του συνόλου του σκληρού δίσκου. Δηλαδή, με κάποιο τρόπο ο ιός θα πρέπει να έχει αποτύχει να ολοκληρώσει το σύνολο των διεργασιών που έχει σχεδιαστεί να εκτελεί.

Ο ιός Bad Rabbit, σε αντίθεση με τον ιό NotPetya, δεν είναι wiper

Οι malware αναλυτές, εκτός από τις ομοιότητες ανάμεσα στον ιό NotPetya (γνωστό και ως ιό ExPetr) και τον ιό Bad Rabbit,, κατάφεραν επίσης να εντοπίσουν και σε τι διαφέρουν. Σύμφωνα πάντα με τους ειδικούς, ο νέος αυτός ιός ransomware αποτελεί νέα και σαφώς αναβαθμισμένη έκδοση του ιού Petya virus, ο οποίος δημιούργησε πρωτόγνωρο πανικό στην παγκόσμια διαδικτυακή κοινότητα τον Ιούνιο του 2017. Ο ιός που εκτέλεσε τη τεράστια κυβερνο-επίθεση στις 27 Ιουνίου ήταν εν τέλει wiper, ενώ ο ιός Bad Rabbit λειτουργεί καθαρά ως προηγμένος ιός κρυπτογραφήσεων (βλ. data-encrypting ransomware virus).

Φαίνεται πως ο πηγαίος κώδικας του DiskCoder.D (Bad Rabbit) έχει σχεδιαστεί με απώτερο σκοπό να έχει πρόσβαση στον κωδικό αποκρυπτογράφησης που χρησιμοποιείται κατά τη διαδικασία κρυπτογράφησης του σκληρού δίσκου.

Μόλις ολοκληρωθεί η διαδικασία κρυπτογράφησης των αρχείων του χρήστη-θύματος, ο ιός ransomware τροποποιεί το Master Boot Record και προχωρά σε επανεκκίνηση του υπολογιστή. Κατόπιν, εμφανίζει σημείωμα λύτρων (βλ. ransom note) στο οποίο εμπεριέχεται “personal installation key#1”. Αυτό το κλειδί έχει κρυπτογραφηθεί από RSA-2048 σε κρυπτογραφημένη binary δομή base64. Αυτή η δομή κρατάει ορισμένους τύπους πληροφοριών που σχετίζονται με το σύστημα υπολογιστή του χρήστη-θύματος.

Ωστόσο, το συγκεκριμένο ID δεν είναι το πολυπόθητο AES key που χρησιμοποιείται κατά την κρυπτογράφηση των αρχείων. Λειτουργεί μόνο ως εργαλείο ταυτοποίησης και διαχωρισμού του συστήματος από άλλα συστήματα-στόχους που έχει επίσης κρυπτογραφήσει ο ιός ransomware.

Η ερευνητική ομάδα της Kaspersky υποστηρίζει ότι κατάφερε να εξάγει τον κωδικό που δημιουργεί το malware κατά το debugging και το εισήγαγε κάτω από το “personal installation key#1.” Ο κωδικός ξεκλείδωσε το σύστημα και ήταν δυνατή η εκκίνησή του. Ωστόσο, τα κρυπτογραφημένα αρχεία παρέμειναν απροσπέλαστα.

Για την αποκρυπτογράφησή τους, είναι απαραίτητο το μοναδικό RSA-2048 key. Θα πρέπει να σημειωθεί ότι τα κλειδιά συμμετρικής κρυπτογράφησης (βλ. symmetric encryption keys) δημιουργούνται ξεχωριστά. Φυσικά, η όποια προσπάθεια 'μαντεψιάς' τους είναι απλά αδύνατη.

Οι ειδικοί εντόπισαν σφάλμα κατά τη dispci.exe εκτελεστική διεργασία του ιού. Απ' ό,τι φαίνεται ο ιός δε διαγράφει από τη μνήμη τον κωδικό που δημιουργεί, οπότε η ανάκτησή του, πριν τη διακοπή της διεργασίας, είναι δυνατή. Δυστυχώς, αυτό είναι πρακτικά πολύ δύσκολο να γίνει σε πραγματικό χρόνο, γιατί συνήθως σε περίπτωση προβλήματος οι περισσότεροι χρήστες έχουν τη τάση να επανεκκινούν το σύστημα του υπολογιστή τους τουλάχιστον μια φορά.

Η πρόληψη συντελεί σε μεγάλο βαθμό στην προστασία των αποθηκευμένων αρχείων

Οι ειδικοί σε θέματα διαδικτυακής ασφάλειας υποστηρίζουν ότι τα νέα στοιχεία προσφέρουν πολύ μικρή πιθανότητα για την ανάκτηση των κρυπτογραφημένων αρχείων. Επίσης, προειδοποιούν ότι οι ιοί ransomware γίνονται ολοένα πιο επικίνδυνοι και περίπλοκοι. Επομένως, η σωστή και αποτελεσματική πρόληψη είναι άκρως σημαντική για την 'θωράκιση' τόσο της εύρρυθμης λειτουργίας του συστήματος όσο και της ασφάλειας των προσωπικών δεδομένων, από κυβερνο-επιθέσεις, όχι μόνο ιών ransomware, αλλά και άλλων τύπων malware και PUPs (potentially unwanted programs, δλδ. δυνητικά ανεπιθύμητων προγραμμάτων).

Για αυτό τον λόγο, η ομάδα των ειδικών μας ετοίμασε χρήσιμες συμβουλές για την προστασία του συστήματος από κυβερνο-επιθέσεις επικίνδυνων ιών ransomware, όπως π.χ ο ιός Bad Rabbit ransomware:

• Απαιτείται η εγκατάσταση ενός αξιόπιστου και πλήρως ενημερωμένου λογισμικού ασφαλείας (επιβάλλεται η τακτική λήψη ενημερώσεων)
• Είναι πολύ σημαντικό να γίνεται τακτικό backup των αρχείων σε κάποια ασφαλή εξωτερική μονάδα αποθήκευσης
• Συνιστούμε τη δημιουργία εξατομικευμένου “vaccine” (εμβολίου) για τον ιό Bad Rabbit ransomware
• Θα πρέπει να αποφεύγεται το κλικάρισμα σε ύποπτες / άγνωστες αναδυόμενες διαφημίσεις, κυρίως δε αυτές που προσπαθούν να πείσουν για λήψη software ενημερώσεων. Ο συγκεκριμένος ιός έχει μολύνει ήδη χιλιάδες συστήματα υπολογιστών, αφού πρώτα είχε παραπλανήσει τους χρήστες να κατεβάσουν ψευδείς / παραπλανητικές Adobe Flash Player ενημερώσεις από κακόβουλα websites. Είναι πολύ σημαντικό να θυμάσαι ότι η λήψη ενημερώσεων, οποιουδήποτε προγράμματος κι αν χρησιμοποιείς, θα πρέπει να γίνεται αποκλειστικά από τις επίσημες ιστοσελίδες των προγραμμάτων αυτών!