天创培训:您身边的信息安全培训专家!
行业动态
Bad Rabbit受害者不用付赎金就可以恢复文件

今天,卡巴斯基发布了新的研究报告,他们发现 Bad Rabbit 中有两个明显的漏洞。一些“幸运”的 Bad Rabbit 受害者或许可以利用这些漏洞来绕过赎金。

Bad Rabbit 并没有删除文件备份( shadow volume copies)

卷影拷贝服务是 Windows 系统在使用过程中,自动创建文件副本的一项服务。

勒索软件的工作原理是:首先创建一个文件副本,并加密这个副本,然后再删除原始的文件,而这些创建出来的副本文件都会被 Windows 认为是“in use”,也就是会被自动备份到内存中。这些文件本身不可见,会根据系统内存自动分配到内存空间上,并保留一段时间。

大部分的勒索软件都会删除卷影拷贝,这样可以防止硬盘恢复软件找到被加密的原始文件副本和未被加密的文件。

根据卡巴斯基的报告,Bad Rabbit 勒索软件中并没有专门的进程来删除卷影拷贝。虽然用户不能靠它恢复全部的文件,但也可以恢复一部分了。

Bad Rabbit受害者不用付赎金就可以恢复文件

解密密码中也存在漏洞,但并不容易破解

卡巴斯基研究员在解密密码上也发现了漏洞。

和其他通过硬盘加密的勒索软件相同,Bad Rabbit 会加密受害人的文件,MFT (Master File Table),并替换掉 MBR (Master Boot Record)来显示勒索信息。

在这个勒索信息中,受害者须付赎金,并将”personal installation key#1″中的代码复制到 Tor 站点中,然后获得解密密码。

而研究人员通过调试模式也可以获得解密密码:

我们发现 dispci.exe 中有一段代码错误,恶意软件生成的密码不会被从内存中删除,所以我们通过调试模式调取了恶意软件生成的密码,并在系统重启后输入这个密码,我们发现密码是有效的,进程也可以继续进行。

Bad Rabbit受害者不用付赎金就可以恢复文件

不幸的是,这个方法只可以绕过引导程序,用户开机重启之后文件还是被加密的。

研究人员在 WannaCry 中也发现了类似的错误,但是这种错误在现实中很少见,通常只在进行研究的特定环境下才会出现。