Update - Bad Rabbit

Bad Rabbit: Forscher entdecken winzige Chance die Erpressung zu umgehen

, München, Kaspersky Lab | Autor: Herbert Wieler

Bad Rabbit: Forscher entdecken winzige Chance die Erpressung zu umgehen

Passwort Schattenkopie wird nicht gelöscht

Zur Erinnerung: Sobald die Bad Rabbit Ransomware einen Computer infiziert hat, wird versucht bestimmte Dateitypen und die Festplatte zu verschlüsseln. Bad Rabbit nutzt dabei das Open-Source-Tool DiskCryptor, um die Benutzerdateien zu verschlüsseln. Wenn der infizierte Computer wieder hochfährt, wird der Boot-Vorgang gestoppt und die Opfer werden darüber informiert, dass ihre Dateien von Bad Rabbit verschlüsselt wurden. Zudem erhalten die Opfer entsprechende Anweisungen zur Zahlung des Lösegelds. Nach erfolgter Zahlung würde das Opfer dann das Passwort zur Entschlüsselung seiner Dateien erhalten.

Laut der vorläufigen Analyse, die von Experten des CSE Cybsec Zlab veröffentlicht wurde, haben die Malware-Autoren wahrscheinlich einige NotPetya-Codes wiederverwendet, um die Komplexität des Codes selbst zu erhöhen und Codierungsfehler zu beheben.

Jetzt entdeckten die Security Forscher von Kaspersky, bei der intensiven Analyse der Verschlüsselungsfunktionen von Bad Rabbit, eine kleine Chance, wie die Opfer die verschlüsselten Dateien wieder herstellen könnten, ohne dabei das Lösegeld zu bezahlen.

Als Teil der Kaspersky Analyse wurde während einer Debugging-Sitzung das von der Malware erzeugte Passwort extrahiert. Als das System nach dem Neustart gesperrt wurde, konnte mit Eingabe des extrahierten Passwortes der Boot Vorgang erfolgreich fortgesetzt werden. Dazu schreiben die Kaspersky Forscher:

Wir haben herausgefunden, dass Bad Rabbit keine Schattenkopien löscht, nachdem die Dateien des Opfers verschlüsselt wurden. Wenn die Shadow Copy-Funktionen vor der Infektion aktiviert wurden und die vollständige Festplattenverschlüsselung aus irgendeinem Grund nicht stattgefunden hat, kann das Opfer die Originalversionen der verschlüsselten Dateien mit Hilfe des Standard-Windows-Mechanismus oder mit Drittanbieter-Recovery Tools wiederherstellen

Der Grund liegt bei einem entdeckten Fehler im Code von dispci.exe: Die Malware löscht das generierte Passwort nicht aus dem Speicher, was bedeutet, dass es eine geringe Chance gibt, dieses zu extrahieren, bevor der Prozess dispci.exe beendet wird. Bei der Variablen dc_pass, die an den Treiber übergeben wird, erfolgt zwar die Löschung nach der Verwendung. Dies gilt allerdings nicht für die Variable rand_str, die die ursprüngliche Kopie des Kennworts enthält.

Pseudocode of the procedure that generates the password and encrypts the disk partitions

Leider mussten die Forscher aber auch feststellen, dass es nach einer erfolgreich durchgeführten Verschlüsselung keine Möglichkeit mehr gibt, die Festplatte oder die Opferdateien, ohne den privaten RSA-2048 Schlüssel der Angreifer, zu entschlüsseln.