91久久精品国产一区二区,日产精品一线二线三线在线观看,国产微拍精品一区

快訊 | 部分Bad Rabbit受害者不用付贖金就可以恢復(fù)文件

責(zé)任編輯：editor007

作者：liki

2017-10-30 20:56:08

摘自：黑客與極客

大部分的勒索軟件都會(huì)刪除卷影拷貝，這樣可以防止硬盤恢復(fù)軟件找到被加密的原始文件副本和未被加密的文件。在這個(gè)勒索信息中，受害者須付贖金，并將”personal installation key 1″中的代碼復(fù)制到 Tor 站點(diǎn)中，然后獲得解密密碼。

今天，卡巴斯基發(fā)布了新的研究報(bào)告，他們發(fā)現(xiàn) Bad Rabbit 中有兩個(gè)明顯的漏洞。一些“幸運(yùn)”的 Bad Rabbit 受害者或許可以利用這些漏洞來繞過贖金。

Bad Rabbit 并沒有刪除文件備份（ shadow volume copies）

卷影拷貝服務(wù)是 Windows 系統(tǒng)在使用過程中，自動(dòng)創(chuàng)建文件副本的一項(xiàng)服務(wù)。

勒索軟件的工作原理是：首先創(chuàng)建一個(gè)文件副本，并加密這個(gè)副本，然后再刪除原始的文件，而這些創(chuàng)建出來的副本文件都會(huì)被 Windows 認(rèn)為是“in use”，也就是會(huì)被自動(dòng)備份到內(nèi)存中。這些文件本身不可見，會(huì)根據(jù)系統(tǒng)內(nèi)存自動(dòng)分配到內(nèi)存空間上，并保留一段時(shí)間。

大部分的勒索軟件都會(huì)刪除卷影拷貝，這樣可以防止硬盤恢復(fù)軟件找到被加密的原始文件副本和未被加密的文件。

根據(jù)卡巴斯基的報(bào)告，Bad Rabbit 勒索軟件中并沒有專門的進(jìn)程來刪除卷影拷貝。雖然用戶不能靠它恢復(fù)全部的文件，但也可以恢復(fù)一部分了。

解密密碼中也存在漏洞，但并不容易破解

卡巴斯基研究員在解密密碼上也發(fā)現(xiàn)了漏洞。

和其他通過硬盤加密的勒索軟件相同，Bad Rabbit 會(huì)加密受害人的文件，MFT (Master File Table)，并替換掉 MBR (Master Boot Record)來顯示勒索信息。

在這個(gè)勒索信息中，受害者須付贖金，并將”personal installation key#1″中的代碼復(fù)制到 Tor 站點(diǎn)中，然后獲得解密密碼。

而研究人員通過調(diào)試模式也可以獲得解密密碼：

我們發(fā)現(xiàn) dispci.exe 中有一段代碼錯(cuò)誤，惡意軟件生成的密碼不會(huì)被從內(nèi)存中刪除，所以我們通過調(diào)試模式調(diào)取了惡意軟件生成的密碼，并在系統(tǒng)重啟后輸入這個(gè)密碼，我們發(fā)現(xiàn)密碼是有效的，進(jìn)程也可以繼續(xù)進(jìn)行。

不幸的是，這個(gè)方法只可以繞過引導(dǎo)程序，用戶開機(jī)重啟之后文件還是被加密的。

研究人員在 WannaCry 中也發(fā)現(xiàn)了類似的錯(cuò)誤，但是這種錯(cuò)誤在現(xiàn)實(shí)中很少見，通常只在進(jìn)行研究的特定環(huán)境下才會(huì)出現(xiàn)。

Bad Rabbit 硬盤加密