今天,卡巴斯基发布了新的研究报告,他们发现Bad Rabbit中有两个明显的漏洞。一些“幸运”的Bad Rabbit受害者或许可以利用这些漏洞来绕过赎金。
Bad Rabbit并没有删除文件备份( shadow volume copies)
卷影拷贝服务是Windows系统在使用过程中,自动创建文件副本的一项服务。
勒索软件的工作原理是:首先创建一个文件副本,并加密这个副本,然后再删除原始的文件,而这些创建出来的副本文件都会被Windows认为是“in use”,也就是会被自动备份到内存中。这些文件本身不可见,会根据系统内存自动分配到内存空间上,并保留一段时间。
大部分的勒索软件都会删除卷影拷贝,这样可以防止硬盘恢复软件找到被加密的原始文件副本和未被加密的文件。
根据卡巴斯基的报告,Bad Rabbit勒索软件中并没有专门的进程来删除卷影拷贝。虽然用户不能靠它恢复全部的文件,但也可以恢复一部分了。
解密密码中也存在漏洞,但并不容易破解
卡巴斯基研究员在解密密码上也发现了漏洞。
和其他通过硬盘加密的勒索软件相同,Bad Rabbit 会加密受害人的文件,MFT (Master File Table),并替换掉MBR (Master Boot Record)来显示勒索信息。
在这个勒索信息中,受害者须付赎金,并将”personal installation key#1″中的代码复制到Tor 站点中,然后获得解密密码。
而研究人员通过调试模式也可以获得解密密码:
我们发现dispci.exe中有一段代码错误,恶意软件生成的密码不会被从内存中删除,所以我们通过调试模式调取了恶意软件生成的密码,并在系统重启后输入这个密码,我们发现密码是有效的,进程也可以继续进行。
不幸的是,这个方法只可以绕过引导程序,用户开机重启之后文件还是被加密的。
研究人员在WannaCry中也发现了类似的错误,但是这种错误在现实中很少见,通常只在进行研究的特定环境下才会出现。
(责任编辑:安博涛)
