'Data versleuteld door Bad Rabbit kan in sommige gevallen worden ontsleuteld'

Data die met de ransomware Bad Rabbit is versleuteld, kan door de aanvallers worden ontsleuteld. Dit in tegenstelling tot veel andere ransomware. Ook kunnen slachtoffers in sommige uitzonderlijke gevallen hun data ontsleutelen.

Dit meldt beveiligingsbedrijf Kaspersky Lab. Bad Rabbit is ransomware die recentelijk in zowel Rusland als Oekraïne voor flinke problemen zorgde. Onder meer de luchthaven in de Oekraïense stad Odessa en het Russische persbureau Interfax werden getroffen. De meeste slachtoffers komen volgens Kaspersky Lab uit Rusland, maar er zijn ook slachtoffers in Duitsland en Turkije.

Verspreiding

De malware werd verspreid via gehackte websites, waarop een installatiebestand voor Adobe Flash werd aangeboden. Dit bestand installeerde in de praktijk echter de Bad Rabbit ransomware. Kaspersky Lab meldt dat Bad Rabbit vervolgens de EternalRomance kwetsbaarheid gebruikte om zich verder te kunnen verspreiden op bedrijfsnetwerken. Analyse van de code wijst uit dat er veel overeenkomsten zijn met NotPetya/ExPetr ransomware, die in juni voor problemen zorgde.

Kaspersky Lab meldt dat de aanvallers achter Bad Rabbit de mogelijkheid hebben de gegijzelde data te ontsleutelen. Wel merkt het bedrijf op dat dit alleen kan met de RSA-2018 private encryptiesleutel die in handen is van de aanvallers. Voor alsnog is er dus nog geen methode ontdekt waarmee slachtoffers zelf hun data kunnen herstellen.

Shaduwkopieën

Ook melden de onderzoekers dat Bad Rabbit schaduwkopieën niet verwijdert na het versleutelen van de bestanden van slachtoffers. “Dit betekent dat indien de schaduwkopieën voor de infectie zijn ingeschakeld en de versleuteling van de volledige disk niet is uitgevoerd, het slachtoffers de originele versie van versleutelde bestanden kunnen herstellen via het standaard Windows-mechanisme of third-party tools”, schrijft het bedrijf op SecureList. Meer informatie is beschikbaar op SecureList.