Les fichiers cryptés par Bad Rabbit peuvent être restaurés, affirment les chercheurs

Les victimes du rançongiciel Bad Rabbit auraient une chance de restaurer leurs données

Bonne nouvelle pour toutes les victimes du rançongiciel Bad Rabbit – une analyse technique du rançongiciel Bad Rabbit menée par Kaspersky a révélé que le maliciel comporte plusieurs failles permettant aux victimes de récupérer leurs fichiers gratuitement.

Au départ, il semblait que la variante actualisée de NotPetya est un virus de cryptage de données perfectionné qui combine les chiffrements AES-128-CBC et RSA-2048, mais d'autres analyses ont révélé que son code source contient en fait quelques erreurs.

Il apparaît que le rançongiciel infâme qui a frappé en premier lieu les utilisateurs de la Russie et de l'Ukraine le 24 Octobre avait une faille dans son code source – il n'incluait pas la fonction pour supprimer les copies masquées du volume ou Volume Shadow Copies, lesquelles peuvent être utilisées pour restaurer les fichiers endommagés par les programmes malveillants.

Toutefois, la récupération des données n'est possible qu'à une condition. Il ne faut pas qu'il parvienne à effectuer l'encodage du disque au complet. Cela signifie que le virus doit être interrompu pour qu'il ne puisse pas terminer ses activités complètement.

Bad Rabbit, contrairement à NotPetya, n'est pas un effaceur

Puisque les analystes en matière de Maliciels ont trouvé des liens entre NotPetya (aussi appelé ExPetr) et Bad Rabbit, ils ont également ressorti les différences entre ces deux virus. Selon les experts, le nouveau rançongiciel est une variante améliorée du virus Petya qui a frappé la communauté virtuelle en Juin 2017. Le virus utilisé lors de la Cyber attaque du 27 Juin s'est avéré être un effaceur (wiper), tandis que Bad Rabbit fonctionne comme un rançongiciel de cryptage des données.

Il apparaît que le code source de DiskCoder.D (Bad Rabbit) est conçu avec l'objectif d'accéder au décryptage du mot de passe utilisé pour endommager le disque.

Après avoir encodé les fichiers de la victime, le rançongiciel change le Master Boot Record et redémarre l'ordinateur pour afficher une note de rançon une “ clé#1 d'installation personnelle ” sur l'écran. Cette clé est encodée avec le chiffrement RSA-2048 et la structure de cryptage binaire base64-. Cette structure contient un certain type d'informations sur l'ordinateur de la victime.

Cependant, l'identifiant (ID) n'est pas la clé AES utilisée pour décrypter les données sur le disque et elle fonctionne comme identifiant pour plusieurs autres PC compromis.

Les chercheurs de Kaspersky déclarent qu'ils ont extrait le mot de passe créé par le Maliciel durant le session de débogage et l'ont entré dans la “clé#1 d'installation personnelle.” Le mot de passe a débloqué le système et lui a permis de s'ouvrir. Toutefois, les fichiers cryptés dans les dossiers de victimes sont encore inaccessibles.

Pour les décrypter, une clé RSA-2048 unique est requise. Il faut dire que les clés de décryptage symétriques sont créées séparément, rendant leur préhension impossible. Des tentatives pour les forcer brutalement peuvent ainsi prendre des années.

En outre, les experts ont découvert une erreur dans le processus dispci.exe utilisé par ce virus. Il apparaît que le virus ne supprime pas le mot de passe généré de la mémoire, donc sa récupération est possible avant que la procédure s'achève. Malheureusement, cela est difficilement possible en situations réelles parce que les victimes ont tendance à redémarrer leurs ordinateurs quelques temps près.

La prévention reste la meilleure approche pour gérer la sécurité de vos données

Les experts en Cyber sécurité déclarent que ces découvertes ne donnent une mince chance de récupérer les fichiers cryptés. Ils avertissent aussi que les rançongiciels quels qu'ils soient sont extrêmement dangereux et que la seule façon de protéger vos données de faire de vigoureux efforts pour éloigner ces virus. Par conséquent, notre équipe a préparé un petit guide sur comment protéger votre système contre Bad Rabbit ou d'autres attaques rançongicielles similaires :

• Installez un logiciel de sécurité fiable et installez ses mises à jour à temps;
• Créez une sauvegarde des données ;
• Considérez la possibilité de créer votre propre “vaccin ” pour le rançongiciel Bad Rabbit ;
• Évitez de cliquer sur les pop-ups qui vous pressent d'installer des mises à jour de logiciel. Comme vous le savez certainement, ce virus a pu infecter de milliers de victimes en les incitant à installer des fausses mises à jour d'Adobe Flash Player par le biais de sites Web compromis. Rappelez-vous que vous ne pouvez vous fier qu'aux mises à jour logicielles fournies par le développeur officiel du logiciel !