标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-955] 作者: kur 发表于: [2017-10-31]
本文共 [451] 位读者顶过
由于 恶意软件 作者微小的操作错误,一些非常幸运的用户能够恢复“坏兔子”( Bad Rabbit ) 勒索软件 锁定的文件。今天,卡巴斯基“坏兔子”报告更新中披露了这些漏洞。来自俄罗斯杀毒厂商的研究人员表示,他们能够发现“坏兔子”操作方法中的两处错误。 [出自:jiwo.org] “坏兔子”未删除卷影副本 中招儿的人还能救一下最大的漏洞是“坏兔子”未删除卷影副本(shadow volume copy)。这是Windows操作系统中的一项技术,可在文件使用过程中创建快照。 因为勒索软件的工作原理是创建文件副本、加密副本并删除原始文件,所有加密文件都在“使用”中并在磁盘上创建一个卷影。根据可用剩余空间,这些影子(不可见)文件在磁盘上保存的时间不确定。 大多数勒索软件家庭都会删除卷影,防止磁盘恢复软件找到原始、未加密的文件副本。卡巴斯基表示,“坏兔子”勒索软件创建者并未创建删除这些文件的程序。虽然卷影副本不能保证受害者取回所有文件,但至少可恢复部分文档。
第二个漏洞与解密密码相关 但较难利用卡巴斯基研究人员发现的第二个错误与解密密码有关。与其他磁盘类型的勒索软件类似,“坏兔子”的工作原理是通过加密受害者文件、加密MFT(主文件表)并使用自定义启动屏幕来替代MBR(主引导记录)。 在该自定义启动屏幕上,“坏兔子”显示“personal installation key#1”值,受害者须在支付赎金和收到解密密码后在Tor站点上输入该值。卡巴斯基称:
不幸的是,该方法只能绕过自定义引导加载程序,当用户启动自己桌面时,本地文件仍处于加密状态。卡巴斯基专家表示:
问题是,若用户重启计算机,密码就会永久性地从内存中清除,再无免费恢复文件的可能。今年春天,研究人员在WannaCry勒索软件中发现了类似漏洞,但该漏洞并未用于感染中。只有研究人员在测试环境中才能利用这些类型的勒索软件加密漏洞,在现实世界中很少被利用。 |