Araştırmacılara göre Bad Rabbit ile şifrelenen dosyalar kurtarılabilir

Bad Rabbit fidye yazılımının kurbanların verilerini kurtarmak için bir şansları olabilir

Tüm Bad Rabbit fidye yazılımı kurbanlarına iyi haber – Kaspersky tarafından gerçekleştirilen Bad Rabbit fidye yazılımı teknik analizine göre kötücül yazılım kurbanlarının dosyaları ücretsiz kurtarmasına imkan veren bir açığı olabilir.

İlk önce, NoPetya'nın güncellenmiş versiyonu olup AES-128-CBC ve RSA-2048 şifreleme tekniklerini kullanan bir varyasyonu gibi gözüküyordu ama derinlemesine incelendiğinde kodunun içinde bazı eksiklikler ve hatalara rastlandı.

Görünüşe göre meşhur virüs ilk önce 24 Ekim tarihinde Ukrayna ve Rus merkezli kullanıcları hedef alan bu virüsün kodunda bazı hatalar bulunmakta – Gölge Yedek Kopyalarınısilmeye yönelik bir komutu bulunmamakta bu da kötücül programlar tarafından zarar gören dosyaları kurtarmak için kullanılabilir.

Dahası, veri kurtarma sadece bir şartta mümkündür. Tüm diski şifrelemeyi başaramamış olması gerekir. Yani vürüsün işlemini gerçekleştirirken başarısız olması lazım.

Bad Rabbit, NotPetya'nın aksine, silici değildir

Kötücül yazılım uzmanları çoktan NotPetya (diğer adıyla ExPetr) ile Bad Rabbit arasında bağlantı buldular bile, bu iki virüs arasındaki farklılıkları listelediler. Uzmanlara göre, yeni fidye yazılımı Sanal ortamları 2017 Haziran ayında kavuran Petya virüsünün bir çeşididir. 27 Haziran tarihinde kullanılan virüs silici idi ama Bad Rabbit veri şifreleyici olarak işlev göstermekte.

DiskCoder.D'un kaynak kodu (Bad Rabbit) disk kilitlemek için kullanılan şifreye erişim için kodlanmış.

Kurbanın dosyalarını şifreldikten sonra, fidye yazılımı Master Boot Kayıtlarını değiştirmekte ve bilgisayarı yeniden başlatıp fidye notu ile “personal installation key#1” uyarısını ekranda göstermekte. Bu anahtar RSA-2048 kullanmakta ve base64-şifreleme yapısını kullanmakta. Bu yapı kurbanın bilgisayarı hakkında bazı bilgileri tutmakta.

Aslında, ID şifrelediği bilgisayarlardaki verileri kullanmak için kullanılan AES değildir ve sadece farklı sistemlerde çalışır.

Kaspersky araştırmacılarının belirttiğine göre kötücül yazılım tarafından kullanılan ve “personal installation key#1.” altına girilmesi gereken şifreyi kurtarabilmişler. Sistemi açan ve baştan başlatan şifre. Fakat yine de kurbanın klasörleri erişilemez kalmakta.

Şifrelerini çözmek için, özel RSA-2048 anahtarı gerekmektedir. Simetrik şifreleme anahtarlarının farklı yaratıldığı ve tahmin edilmesinin zor olduğu bilinmektedir. Brute-force tekniği ile kırmaya çalışmak çok uzun zaman alabilir.

Ayrıca, uzmanlar virüsün dispci.exe işleminde bir hata keşfettiler. Görünüşe göre virüs hafızadan yaratılan ilgili şifreyi silmemekte, bu yüzden de işlem kapanmadan şifreyi kurtarmak mümkün olabilir. Ne yazık ki, bu gerçek hayatta pek mümkün değildir çünkü kurbanlar bilgisayarlarını birkaç kez kapatmaktalar.

Veri güvenliğinizin en doğru yolu Korunmadır

Sibergüvenlik uzmanlarının söylediğine göre bu yeni keşifler dosyaların şifresini çözmeye dair çok az da olsa umut vermekte. Ayrıca, her tür fidye yazılımının çok tehlikeli olduğunu söylemekteler ve verilerinizi korumanın en iyi yolunun virüslerden uzak durmaya çalışmak olduğunu söylüyorlar. Bu yüzden de, ekibimiz sisteminizi Bad Rabbit veya benzeri fidye virüslerine karşı nasıl koruyabileceğinize kısa bir liste hazırladı:

• Güvenilir bir güvenlik yazılımı kurun ve sürekli güncel tutun;
• Veri yedeği yaratın;
• Bad Rabit fidye yazılımınıza karşı kendi “aşınızı” oluşturun;
• Yazılım güncellemeleri teklif eden patlayan reklamlara tıklamayın. Sizin de bildiğiniz gibi, belirli sitelerden gelen sahte Adobe Flash Player güncellemeleri ile çok sayıda bilgisayara bulaşmıştır. Unutmayın ki sadece yazılımın meşru geliştiricisi tarafından sunulan güncellemelere güvenmelisiniz!