InternetNotíciasSegurança

Investigadores da Kaspersky Lab dizem que o Bad Rabbit não é um “wiper”

Ransomware-New-02

A equipa de investigadores da Kaspersky Lab confirmou que, ao contrário do ExPetr, o Bad Rabbit não é um “wiper”. Análises ao algoritmo do malware sugerem que os hackers possuem os meios de desencriptação necessários para a recuperação do disco.

No caso do ExPetr, é impossível extrair informações de identificação da infecção usada para a chave de desencriptação da informação. Pelo contrário, os responsáveis pelo Bad Rabbit podem usar a sua chave pessoal para desencriptar a informação e enviá-la à vítima, de acordo com os analistas da Kaspersky Lab.

Os investigadores também descobriram que o código de ransomware do Bad Rabbit não contém os erros típicos que poderiam ser utilizados para desencriptar os ficheiros das vítimas.

Não há forma de desencriptar a informação sem a chave pessoal dos hackers. No entanto, os especialistas encontraram uma falha no código dispci.exe, o que significa que o malware não apaga a palavra-passe gerada pela memória – o que cria «uma ínfima possibilidade de a extrair».

A Kaspersky Lab confirmou ontem que o ataque de ransomware Bad Rabbit está associado aos criadores do ataque ExPetr que ocorreu em Junho deste ano. Ambos os ataques usam os mesmos domínios, e existem semelhanças nos respectivos códigos fonte.

De acordo com a análise, o algoritmo de hash utilizado no ataque do Bad Rabbit é similar ao usado pelo ExPetr e, tal como este, o Bad Rabbit tenta aceder às credenciais da memória do sistema e expandir-se dentro da rede corporativa através de WMIC.

No entanto, investigadores não encontraram o exploit EternalBlue no ataque do Bad Rabbit, que havia sido utilizado no ExPetr.

O Bad Rabbit atingiu quase 200 alvos, localizados na Rússia, Ucrânia, Turquia, Alemanha, Cazaquistão e China. Todos os ataques tiveram lugar a 24 de Outubro, e novos ataques foram detectados desde então. O principal servido, 1dnscontrol[.]com, através do qual o dropper do Bad Rabbit foi distribuído, tem estado em baixo desde 24 de Outubro.

Via Kaspersky Lab.

PCGuia
Este site utiliza cookies. Ao continuar a utilizá-lo estará a aceitar a nossa política de privacidade e os nossos Termos de utilização. Mais informação acerca da forma como utilizamos cookies está disponível aqui.
×