Los archivos encriptados por Bad Rabbit pueden ser recuperados, dicen los investigadores

Las víctimas del ransomware Bad Rabbit pueden tener posibilidad de recuperar sus datos

Buenas noticias para todas las víctimas del ransomware Bad Rabbit – un análisis técnico del ransomware Bad Rabbit por parte de Kaspersky ha revelado que el malware tenía varias flaquezas, lo que ha permitido que las víctimas puedan recuperar sus archivos gratuitamente.

En primer lugar, parecía que la variante actualizada de NotPetya era un virus de encriptación de datos pulido que combinaba cifradores AES-128-CBC y RSA-2048, pero los futuros análisis han revelado que su código fuente contenía varios errores.

Parece que el infame ransomware que alcanzó primero a usuarios de ordenador de Rusia y Ucrania el 24 de Octubre tenía una debilidad en su código fuente – no contenía la función para eliminar las Copias de Volumen de los datos, las cuales pueden ser usadas para restaurar los archivos dañados por programas maliciosos.

Sin embargo, la recuperación de los datos es posible con una condición. Tiene que fallar a la hora de encriptar el disco duro por completo, lo que significa que el virus debe ser interrumpido y no debe completar correctamente su tarea.

Bad Rabbit, a diferencia de NotPetya, no es un limpiador

Desde que los analistas en malware encontrasen enlaces entre NotPetya (también conocido como ExPetr) y Bad Rabbit, han acentuado también las diferencias entre estos dos virus. De acuerdo con los expertos, el nuevo ransomware es una versión mejorada del virus Petya que impactó en la comunidad virtual en Junio del 2017. El ciber ataque del 27 de Junio que usó el virus pareció ser un limpiador, mientras que Bad Rabbit funciona como un ransomware de encriptación de datos.

Resulta que el código fuente de DiskCoder.D (Bad Rabbit) está construido con la intención de tener acceso a la contraseña de desencriptación usada para corromper el disco.

Tras codificar los archivos de la víctima, el ransomware modifica el Registro de Arranque Principal e inicia el ordenador para mostrar una nota de pago con una “clave personal de instalación#1” en la pantalla. Esta clave es codificada usando una RSA-2048 y una estructura binaria encriptada base64. Esta estructura mantiene ciertos tipos de información sobre el ordenador de la víctima.

No obstante, la ID no es una clave AES usada para encriptar los datos en el disco y solo funciona como identificador de los diferentes PCs comprometidos.

Los analistas de Kaspersky declaran que han extraído la contraseña creada por el malware durante la sesión de depuración y la insertaron en la “clave personal de instalación#1.” La contraseña desbloqueó el sistema y permitió reiniciarlo. No obstante, los archivos encriptados en las carpetas de las víctimas siguen siendo ilegibles.

Para desencriptarlos, se requiere una única clave RSA-2048. Debe decirse que las claves simétricas de encriptación son creadas por separado, haciendo imposible imaginarlas. Los intentos por fuerza bruta pueden tomar incluso años.

Además, los expertos descubrieron un error en el proceso dispci.exe usado por el virus. Parece que el virus no elimina la contraseña generada de la memoria, por lo que es posible recuperarla antes de que el proceso finalice. Desafortunadamente, es difícilmente posible en situaciones reales, ya que las víctimas tienden a reiniciar sus ordenadores varias veces.

La prevención es el mejor enfoque para controlar la seguridad de tus datos

Los expertos en ciber seguridad dicen que estos descubrimientos solo dan una leve posibilidad de recuperar los archivos encriptados. También avisan de que cualquier tipo de ransomware es extremadamente peligroso y el único modo de mantener tus datos protegidos es intentar hacerlo lo mejor posible para evitar estos virus. Por ello, nuestro equipo ha preparado una leve guía para mantener tu sistema protegido contra Bad Rabbit o similares ataques de ransomware:

• Instala un programa de seguridad legítimo e instala sus actualizaciones cuando se requieran;
• Crea copias de seguridad de tus datos;
• Considera crear tu propia «vacuna” para el ransomware Bad Rabbit;
• Evita hacer click en falsos pop-ups que te instan a instalar actualizaciones de programas. Como probablemente ya sepas, el virus descrito ha infectado a miles de víctimas instándoles a que instalen actualizaciones falsas de Adobe Flash Player a través de páginas comprometidas. ¡Recuerda que solo puedes confiar en actualizaciones de programas provistas a través del desarrollador oficial del programa!