Von Bad Rabbit verschlüsselte Dateien können wiederhergestellt werden, sagen Forscher

von Olivia Morelli - - 2017-11-20

10574 Aufrufe

Für Opfer der Erpressersoftware Bad Rabbit besteht Hoffnung auf eine Wiederherstellung der Dateien

Victims of Bad Rabbit ransomware have a slight chance of recovering files for free

Gute Nachrichten für Opfer der Erpressersoftware Bad Rabbit: Die von Kaspersky durchgeführte Untersuchung hat gezeigt, dass die Schadsoftware mehrere Mängel aufweist und hierdurch die kostenlose Wiederherstellung der Dateien möglich ist.

Auf dem ersten Blick schien die verbesserte NotPetya-Variante ein polierter datenverschlüsselnder Virus zu sein, der die Verschlüsselungsverfahren AES-128-CBC und RSA-2048 kombiniert. Eine nähere Untersuchung hat allerdings ergeben, dass der Quellcode Fehler enthält.

Dem Anschein nach hatte die berüchtigte Erpressersoftware, die am 24. Oktober zunächst russische und ukrainische Computernutzer angriff, eine besondere Schwachstelle im Quellcode. Sie enthielt nämlich keine Funktion für das Löschen von Schattenkopien, welche für die Wiederherstellung von Dateien verwendet werden können.

Die Datenwiederherstellung ist allerdings nur unter einer Bedingung möglich. Der Virus darf nicht die ganze Festplatte verschlüsseln. Dies bedeutet, dass man den Virus bei der Durchführung seiner Aufgabe unterbrechen muss, sodass er nicht alle seine Aufgaben erfüllt.

Bad Rabbit ist im Vergleich zu NotPetya kein Wiper

Da Schadsoftwareforscher Verbindungen zwischen NotPetya (auch bekannt als ExPetr) und Bad Rabbit gefunden haben, heben sie auch besonders die Unterschiede zwischen den zwei Viren hervor. Laut Experten ist die neue Erpressersoftware eine verbesserte Variante von Petya, welches die virtuelle Community im Juni 2017 erschütterte. Der am 27. Juni losgelassene Virus hat sich letztendlich als Wiper entpuppt, Bad Rabbit hingegen ist eine datenverschlüsselnde Erpressersoftware.

Es hat sich außerdem herausgestellt, dass der Quellcode von DiskCoder.D (Bad Rabbit) mit der Absicht erstellt worden ist, Zugriff auf das Entschlüsselungspasswort zu bekommen, das für die Zerstörung der Festplatte verwendet wird.

Nach der Verschlüsselung der Dateien ändert die Erpressersoftware das MBR und startet den Computer neu, um einen Erpresserbrief mit einem “persönlichen Installationschlüssel#1” auf dem Bildschirm einzublenden. Der Schlüssel ist nach RSA-2048 und Base64 verschlüsselt und hat ebenfalls Informationen über den Computer integriert.

Allerdings ist die ID nicht der AES-Schlüssel für die Verschlüsselung der Daten, sondern dient lediglich zur Identifizierung des jeweiligen kompromittierten Computers.

Forscher von Kaspersky geben an, dass sie bei ihren Tests das von der Schadsoftware erstellte Passwort extrahiert und unterhalb “personal installation key#1” eingegeben haben. Daraufhin wurde das System entsperrt und ein Systemstart war wieder möglich. Die Dateien blieben jedoch weiterhin unzugänglich.

Um sie zu entschlüsseln, benötigt man einen speziellen RSA-2048-Schlüssel. Wichtig zu wissen ist, dass die symmetrischen Schlüssel separat erstellt werden. Ein Erraten ist daher unmöglich. Die möglichen Schlüssel auszuprobieren würde eine Ewigkeit in Anspruch nehmen.

Darüber hinaus entdeckten Experten einen Fehler im Prozess dispci.exe, der vom Virus benutzt wird. Dem Anschein nach löscht der Virus nicht das Passwort im Zwischenspeicher, wodurch es vor der Terminierung des Prozesses wiederhergestellt werden kann. Bedauerlicherweise ist es in realen Situationen selten anwendbar, da Opfer dazu tendieren den Computer mehrmals neu zu starten und hierdurch der Zwischenspeicher geleert wird.

Prävention ist die beste Methode für sichere Dateien

Cybersicherheitsexperten sagen, dass die Funde nur eine geringe Chance auf eine Datenwiederherstellung bieten. Zudem warnen sie, dass jede Art von Erpressersoftware gefährlich ist und die Dateien sich nur schützen lassen, indem man alles versucht, um solche Viren fernzuhalten. Unser Team hat daher eine kurze Anleitung vorbereitet, wie man das System vor Bad Rabbit und ähnlichen Erpressungsprogrammen schützt:

Installieren Sie eine zuverlässige Sicherheitssoftware und installieren Sie Updates rechtzeitig.
Sicheren Sie Ihre Daten, indem Sie Back-ups erstellen.
Erwägen Sie es, selbst einen “Impfstoff” gegen Bad Rabbit zu erstellen.
Klicken Sie nicht auf Pop-ups für Fake-Updates. Wie Sie wahrscheinlich bereits wissen, hat der hier beschriebene Virus tausende infiziert, indem er auf kompromittierte Webseiten falsche Updates für Adobe Flash Player aufdrängte. Vergessen Sie auf keinen Fall, dass Softwareupdates nur zuverlässig sind, wenn Sie von dem offiziellen Entwickler der Software stammen!