Bad Rabbit で暗号化されたファイルは復元可能とリサーチャーが発表

Bad Rabbit ランサムウェアの被害者にデータ復元のチャンスか

Bad Rabbit ランサムウェアの被害に遭われたみなさんに良いお知らせです – Kaspersky による Bad Rabbit ランサムウェアの技術分析により、このマルウェアに複数の欠陥が見つかり、被害者が無料でファイルを復元できることが分かりました。

まず、NotPetya の最新版の亜種は洗練されたデータ暗号化タイプのウィルスで、AES-128-CBC および RSA-2048 暗号化手法を組み合わせていますが、詳しい分析によりそのソース・コードに実際のところ 3 点ほどバグが含まれていることが判明したのです。

どうやら 10 月 24 日に最初にロシア、次にウクライナの PC ユーザーを攻撃した悪名高いランサムウェアには、ソース・コードに欠陥があったようです。これには Volume Shadow Copies を削除する機能が含まれていませんでしたが、これは悪意のあるプログラムによってダメージを受けたファイルを復元するために使用できるものです。

しかし、データの復元はある 1つの条件を満たせば可能なのです。完全にディスクを暗号化することはできないでしょう。つまり、ウィルスが邪魔されて、あらゆるタスクを正しく完了できなくなるはずです。

Bad Rabbit は NotPetya とは異なり、ワイパーではない

マルウェアのアナリストはすでに NotPetya (別名 ExPetr) および Bad Rabbit との間の繋がりを発見しており、これら 2 つのウィルス間の違いについても区別を付けています。専門家によると、この新しいランサムウェアは 2017 年 6 月に仮想コミュニティを揺るがせた Petya ウィルスの改良版です。6 月 27 日のサイバー攻撃に使用されたウィルスはワイパーである一方で、Bad Rabbit はデータ暗号化タイプのランサムウェアとして機能していることが判明しています。

DiskCoder.D (Bad Rabbit) のソース・コードは、ディスク破壊に使用される復号パスワードにアクセスする目的で組まれているようです。

被害者のファイルを暗号化すると、ランサムウェアはマスター・ブート・レコードを改ざんし、PC を再起動して画面にには「personal installation key#1」(個人用インストール・キー#1) の書かれた身代金メモが表示されます。このキーは RSA-2048 および base64 で暗号化されたバイナリ構造を使用して暗号化されています。この構造には被害者の PC に関する特定のタイプの情報が格納されます。

しかし、ID はディスク上のデータを暗号化するために使用される AES キーではなく、感染した PC を区別して識別するためだけのものです。

Kaspersky のリサーチャーによると、デバッグ・セッションの際にマルウェアによって作成されたパスワードの抽出に成功し、それを「personal installation key#1」の下に入力してみたとのことです。そのパスワードによりシステムのロックを解除し、システムを起動することができたそうです。しかし、被害者のフォルダーで暗号化されたファイルには何も手を加えることはできないまま残りました。

それらのファイルを復号するには、ユニークな RSA-2048 キーが必要です。シンメトリックな暗号キーは別々に作成され、推測できないようにせねばならないと言われています。 そのようなパスワードを総攻撃で解読するには何年もかかることでしょう。

さらに、専門家はウィルスによって使用される dispci.exe というプロセスにバグを見つけました。どうやらウィルスは生成されたパスワードをメモリから削除しないようなので、プロセス自体が終了する前にそれを復元させることが可能なのです。残念なことに、被害者は PC を何度も再起動する傾向があるため、これは現実的な状況においては不可能と言えるでしょう。

データの保全をコントロールするには予防が最善のアプローチ

サイバー・セキュリティの専門家は、このような発見により僅かながらも暗号化されたファイルの復元のチャンスが得られたと言います。さらに、どのようなタイプのランサムウェアであっても極めて危険であること、またデータを保全できる唯一の方法は万全の対策でそのようなウィルスを遠ざける努力をすることである、と警鐘を鳴らしています。そこで、弊社では Bad Rabbit や類似のランサムウェアの攻撃からシステムを保護するための簡単なハウツー・ガイドをご用意しました:

  • 信頼性の高いセキュリティ・ソフトをインストールして、その更新プログラムも適時インストールする
  • データのバックアップを作成する
  • Bad Rabbit ランサムウェア対策に独自の「ワクチン」 を作成することを考える
  • ソフトウェアの更新プログラムをインストールするように促す偽のポップアップをクリックしない。ご承知のように、前述のウィルスは感染しているウェブサイトを通じて偽の Adobe Flash Player を強く推めることにより、何千という被害者に感染してきました。ソフトウェアの更新プログラムについては、そのソフトウェアの公式な開発者により提供されるソフトウェア更新プログラムのみを信頼すべきです!
著者について
Olivia Morelli
Olivia Morelli

ルウェア・アナリスト...

Olivia Morelli に連絡する
Esolutions について

別の言語で読む
ファイル
ソフト
比較