Gli esperti affermano che i file criptati da Bad Rabbit possono essere recuperati

Le vittime del ransomware Bad Rabbit potrebbero avere la possibilità di recuperare i loro dati

Una buona notizia per tutte le vittime del ransomware Bad Rabbit – le analisi tecniche del ransomware Bad Rabbit effettuate da Kaspersky hanno riscontrato in questo malware vari difetti che permetterebbero alle vittime di recuperare i loro file gratuitamente.

Inizialmente sembrava che la variante aggiornata di Petya fosse un virus cripta-dati polacco che combinava i metodi di cifratura AES-128-CBC e RSA-2048, ma analisi successive hanno dimostrato che il codice sorgente conteneva alcuni errori.

Si è scoperto che l'infame ransomware che colpisce in particolare utenti Russi e Ucraini dal 24 Ottobre presenta delle falle nel codice sorgente – non possiede infatti una funzione per eliminare le copie volume fantasma (Volume Shadow Copies), che possono essere usate per recuperare i file danneggiati da questi programmi malevoli.

Tuttavia, per recuperare i dati è necessario rispettare una condizione. Il virus deve aver fallito la cifratura dell'intero hard disk. Questo vuol dire che il virus deve essere stato interrotto e non deve esser riuscito a completare il processo di crittografia.

Bad Rabbit, a differenza di NotPetya, non è un wiper

Gli analisti malware hanno trovato collegamenti tra NotPetya (anche conosciuto come ExPetr) e Bad Rabbit, tuttavia hanno anche messo in evidenza le differenze tra questi due virus. Stando agli esperti, questo nuovo ransomware è una variante aggiornata del virus Petya che ha scosso la comunità virtuale nel Giugno 2017. Il virus usato in un cyber attacco il 27 Giugno si è scoperto essere un wiper, mentre invece Bad Rabbit funziona solo come ransomware cripta-dati.

Si è scoperto che il codice sorgente di DiskCoder.D (Bad Rabbit) è stato costruito con l'intento di accedere alla password per la decriptazione usata per la corruzione del disco.

Dopo aver criptato i file della vittima, il ransomware cambia il Master Boot Record e riavvia il computer che mostrerà sul display il testo del riscatto richiedendo “una chiave personale di installazione#1”. Questa chiave è stata cifrata usando la struttura binaria di criptazione in base 64 e lo schema RSA-2048. Questa struttura è in grado di bloccare alcuni tipi di informazioni riguardanti il computer della vittima.

Tuttavia, l'ID non è la chiave AES usata per criptare i dati sul disco e serve solamente ad identificare i diversi computer compromessi.

I ricercatori di Kaspersky affermano di aver estratto la password creata dal malware durante il processo di debug e di averla inserita come “chiave personale di installazione#1.” La password ha sbloccato il sistema e ha permesso l'avvio. Tuttavia, i file criptati nelle cartelle della vittima sono rimasti irraggiungibili.

Per decriptarli è richiesta una chiave unica RSA-2048. Va detto che le chiavi di crittografia simmetriche vengono create separatamente, in modo che sia impossibile indovinarle. I tentativi di forzarle potrebbero richiedere anche degli anni.

Inoltre, gli esperti hanno scoperto un errore nel processo dispci.exe usato dal virus. Il virus non elimina la password generata dalla memoria, per cui sarebbe possibile recuperarla prima di terminare il processo. Sfortunatamente, questo è quasi impossibile nei casi reali in quanto le vittime tendono a riavviare i computer varie volte.

La prevenzione è l'approccio migliore per tenere al sicuro i vostri dati

Gli esperti di cybersecurity ci dicono che questi risultati forniscono solo una lieve possibilità di recuperare i dati crittografati. Inoltre, avvertono che qualsiasi tipo di ransomware può essere estremamente pericoloso e l'unico modo per proteggere i dati è fare di tutto per tenere questi virus lontano dal computer. Per cui, il nostro team ha preparato alcuni brevi consigli su come tenere al sicuro il sistema da Bad Rabbit o altri attacchi ransomware simili:

• Installate un affidabile software per la sicurezza e installate sempre gli aggiornamenti;
• Creati sempre un backup dei dati;
• Prendere in considerazione la possibilità di creare un vostro “vaccino” per il ransomware Bad Rabbit;
• Evitate di cliccare su pop-up fake che vi chiedono di installare urgentemente aggiornamenti software. Come probabilmente saprete il virus di cui abbiamo parlato ha infettato migliaia di vittime che hanno cliccato su un finto aggiornamento per Adobe Flash Player in qualche sito inaffidabile. Ricordatevi che potete fidarvi solamente degli aggiornamenti forniti dagli sviluppatori ufficiali del software!