由于 恶意软件 作者微小的操作错误，一些非常幸运的用户能够恢复“坏兔子”（ Bad Rabbit ） 勒索软件 锁定的文件。今天，卡巴斯基“坏兔子”报告更新中披露了这些漏洞。来自俄罗斯杀毒厂商的研究人员表示，他们能够发现“坏兔子”操作方法中的两处错误。 [出自:jiwo.org]

“坏兔子”未删除卷影副本 中招儿的人还能救一下

最大的漏洞是“坏兔子”未删除卷影副本（shadow volume copy）。这是Windows操作系统中的一项技术，可在文件使用过程中创建快照。

因为勒索软件的工作原理是创建文件副本、加密副本并删除原始文件，所有加密文件都在“使用”中并在磁盘上创建一个卷影。根据可用剩余空间，这些影子（不可见）文件在磁盘上保存的时间不确定。

大多数勒索软件家庭都会删除卷影，防止磁盘恢复软件找到原始、未加密的文件副本。卡巴斯基表示，“坏兔子”勒索软件创建者并未创建删除这些文件的程序。虽然卷影副本不能保证受害者取回所有文件，但至少可恢复部分文档。

第二个漏洞与解密密码相关 但较难利用

卡巴斯基研究人员发现的第二个错误与解密密码有关。与其他磁盘类型的勒索软件类似，“坏兔子”的工作原理是通过加密受害者文件、加密MFT（主文件表）并使用自定义启动屏幕来替代MBR（主引导记录）。

在该自定义启动屏幕上，“坏兔子”显示“personal installation key#1”值，受害者须在支付赎金和收到解密密码后在Tor站点上输入该值。卡巴斯基称：

“作为分析的一部分，我们提取了恶意软件在调试会话中生成的密码，并在重新启动系统时尝试输入这个密码。该密码竟然生效了，启动程序正常继续。”

不幸的是，该方法只能绕过自定义引导加载程序，当用户启动自己桌面时，本地文件仍处于加密状态。卡巴斯基专家表示：

“然而，我们在dispci.exe代码中发现：恶意软件未将生成的密码从内存中清除，这意味着我们有可能在dispci.exe程序结束前提取出该密码。”

问题是，若用户重启计算机，密码就会永久性地从内存中清除，再无免费恢复文件的可能。今年春天，研究人员在WannaCry勒索软件中发现了类似漏洞，但该漏洞并未用于感染中。只有研究人员在测试环境中才能利用这些类型的勒索软件加密漏洞，在现实世界中很少被利用。