XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ
QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > Bad Rabbit tərəfindən şifrələnmiş faylların bərpası üsulu tapıldı.

1 Noy 2017

Bad Rabbit yaradıcıları tərəfindən buraxılmış az əhəmiyyətli əməliyyat xətaları nəticəsində bəzi qurbanlar şantajçının tələb etdiyi ödənişi etmədən öz fayllarını geri qaytara bilərlər. Bad Rabbit –in əsas problemi yoluxmuş sistemdən “görünməz” nüsxələrini silməməsidir. Zərərverici faylın nüsxəsini yaradır, onu şifrələyir və əslini sistemdən silir. Yaddaş diskində görünməz nüsxələr boş yerin mövcudluğundan asılı olaraq qeyri-müəyyən zaman ərzində diskdə saxlanılır. Əksər şantajçı proqramlar öz görünməz fayllarını silirlər ki, müxtəlif bərpa proqramları vasitəsilə aşkara çıxmasınlar. Görünməz nüsxələrin mövcudluğu zərərçəkmiş şəxsə onun bütün fayllarının bərpasını zəmanət verməsə də, sənədlərin heç olmasa bir hissəsini qaytarmaq imkanı verir.

Təhqiqatçılar tərəfindən aşkar olunan ikinci xəta faylların deşifrəsi üçün olan parollarla əlaqədardır. Bad Rabbit qurbanlarının fayllarını MFT verilənlər bazası yolu ilə şifrələyir və əsas ekranda özünəməxsus yüklənmə yazısı ilə əvəzləyir.

Təhqiqatçılar həmçinin dispci.exe faylının kodunda boşluq aşkar ediblər. Məlum olmuşdur ki, troyan generasiya olunmuş şifrəni yaddaşdan silmir, deməli dispci.exe prosesinin bitməsinə qədər şifrənin əldə olunması ehtimalı var. Sadəcə olaraq problem ondadır ki, kompüter yenidən yüklənəndən sonra şifrə yaddaşdan silinir və ödəniş olunmadan onu əldə etmək mümkünsüz olur.

Tomun Kölgə Köçürmə Xidməti - (Volume Shadow Copy Service) – hal-hazırda işləyən, həmçinin sistem və blok edilmiş faylların nüsxəsini çıxaran Windows əçəliyyat sistemi xidmətidir. Sistemin bərpası və arxiv olunması üçün labüd proqramlardır (Paragon Drive Backup, Acronis True Image, Leo Backup R Drive Image və s.)