فایل‌های رمزنگاری شده توسط خرگوش بد، بدون پرداخت باج قابل بازیابی هستند

 

محققان کسپرسکی بعد از تجزیه و تحلیل تابع رمزنگاری باج افزار خرگوش بد کشف کردند که برخی از کاربران ممکن است بتوانند فایل های رمزنگاری شده توسط آن را بدون پرداخت باج بازیابی کنند. هنگامی که این باج افزار یک دستگاه را آلوده می کند، به دنبال فایل های خاصی می گردد و آن ها را رمزنگاری می کند. دیسک نیز رمزنگاری‌ شده است و زمانی که کامپیوتر راه اندازی شد یک صفحه ی باج نمایش داده می شود، و از دسترسی قربانی به سیستم عامل جلوگیری می کند. رمزنگاری دیسک و قابلیت راه اندازی، توسط کد مشتق شده از یک ابزار قانونی به نام DiskCryptor انجام شده است.


خرگوش بد با حمله‌ی نات‌پتیا که در اواخر ماه ژوئن باعث اختلالات عمده‌ای در بسیاری از شرکت‌ها شد، مرتبط است. با این حال، برخلاف نات‌پتیا، که کارشناسان به دلیل این‌که قربانیان نتوانستند فایل‌های خود را حتی در صورت پرداخت باج، بازیابی کنند، آن را به عنوان یک پاک‌کننده طبقه‌بندی می‌کنند، فایل‌های رمزنگاری‌شده توسط خرگوش بد را می‌توان با کلید رمزگشایی درستی بازیابی کرد. با این‌که مکانیزم‌های استفاده شده توسط مهاجمان، یعنی AES-128-CBC و RSA-2048 شکسته نمی‌شوند، اما کارشناسان کسپرسکی روش‌هایی را شناسایی کرده‌اند که به برخی از قربانیان اجازه می‌دهد که دیسک خود را رمزگشایی کنند و فایل‌ها را بازیابی کنند.


هنگامی که یک کامپیوتر آلوده راه‌اندازی می‌شود، به کاربران اطلاع می‌دهد که فایل‌های آن‌ها رمزنگاری شده است و به آن‌ها دستور می‌دهد که مبلغ باج را پرداخت کنند تا به گذرواژه‌ی مورد نیاز برای رمزگشایی دست یابند. در این صفحه قسمتی وجو داردد که کاربر می‌تواند گذرواژه‌ای که بدست آورده را وارد کرده و به سیستم خود وارد شود.


محققان کسپرسکی کشف کردند که گذرواژه‌ی موردنیاز برای راه‌اندازی سیستم، بعد از تولید، از حافظه پاک نمی‌شود و به کاربران این امکان را می‌دهد که قبل از این‌که  فرآیند ایجاد گذرواژه به نام dipci.exe خاتمه یابد، گذرواژه را استخراج کند. وارد کردن این گذرواژه سیستم را راه‌اندازی  و دیسک را رمزگشایی می‌کند، اما تنها احتمال بسیار کمی وجود دارد که قربانیان، واقعا بتوانند گذرواژه را استخراج کنند.


متخصصان متوجه شدند که برای بازیابی فایل‌ها، خرگوش بد کپی‌های پنهانی را که پشتیبان‌های ایجاد شده توسط ویندوز هستند، حذف نمی‌کند. اگر کاربران این قابلیت پشتیبان‌گیری را قبل از رمزنگاری فایل‌ها فعال کنند و قابلیت رمزنگاری کامل دیسک توسط بدافزار به دلایلی لغو شود و یا دیسک با استفاده از روش ذکرشده رمزگشایی شود، می‌توانند داده‌ها را از طریق ویندوز یا امکانات شخص ثالث بازیابی کنند.


آزمایشگاه کسپرسکی همچنین تایید کرد که خرگوش بد برای انتشار خود از یک بهره‌برداری مربوط به آژانس امنیت ملی آمریکا استفاده می‌کند. گزارش‌های قبلی بیانگر این است که هیچ بهره‌برداری مشاهده نشده است. این بدافزار از بهره‌برداری EternalRomance که نات‌پتیا نیز آن را مورد استفاده قرار داده بود، استفاده می‌کند.


بر اساس شباهت‌های زیاد، به نظر می‌رسد همان گروه تهدید که پویش نات‌پتیا را راه اندازی کرد، یعنی عامل تهدید مرتبط با روسیه که با نام‌های BlackEnergy، TeleBots و Sandworm Team شناخته شده، حمله‌ی خرگوش بد را نیز انجام داده است. برخی‌ها به دلیل این‌که اکثر قربانیان در روسیه هستند، قانع نمی‌شوند. با این حال، افراد دیگر اظهار کردند که احتمالا هدف اصلی، اوکراین بوده است که چند سازمان بزرگ آن آسیب دید.

 

منبع

Related posts

Leave a Comment

سه × پنج =