El ‘ransomware’ Bad Rabbit permite recuperar los archivos que encripta, a diferencia de ExPetr

La compañía de ciberseguridad Kaspersky Lab ha confirmado que el ‘ransomware’ Bad Rabbit, que este martes atacó a dispositivos en Rusia, Ucrania, Turquía, Alemania, Kazajistán y China, no es un virus de tipo ‘wiper’. Esto implica que los archivos que encripta pueden ser recuperados a través de una clave privada, sin volverse irrecuperables.

 

La compañía de ciberseguridad Kaspersky Lab ha confirmado que el ‘ransomware’ Bad Rabbit, que este martes atacó a dispositivos en Rusia, Ucrania, Turquía, Alemania, Kazajistán y China, no es un virus de tipo ‘wiper’. Esto implica que los archivos que encripta pueden ser recuperados a través de una clave privada, sin volverse irrecuperables.

 

Como ha explicado la firma rusa a través de un comunicado, este aspecto diferencia a Bad Rabbit de ExPetr –también conocido como Petya o NotPetya–, a pesar de que ambos gusanos fueron desarrollados por los mismos cibercriminales. El portal SecureList de Kaspersky Lab ha detallado que Bad Rabbit tiene la capacidad de descifrar la información necesaria para la recuperación del disco duro, algo que ExPetr no permite.

Esto significa que los archivos cifrados por Bad Rabbit pueden ser recuperados si se paga el rescate exigido por sus responsables, mientras que la recuperación de archivos es imposible con ExPetr. En este sentido, el análisis de Kaspersky Lab ha certificado que los autores de Bad Rabbit podían usar su propia clave privada para descifrar la información de identificación de infección y enviarla a la víctima; en el caso de ExPetr, era imposible extraer esta información utilizada para la clave de descifrado de datos.

Por otra parte, Kaspersky Lab ha advertido que el código Bad Rabbit no contiene el tipo de errores que podrían usarse para descifrar los archivos y datos de las víctimas, por lo que no hay forma de desencriptar la información sin la clave privada del atacante. Aún así, los expertos han encontrado un error en el código dispci.exe del ‘malware’ que refleja que este no borra de la memoria la contraseña generada, por lo que existe una pequeña posibilidad de extraerla antes de que se ejecute este código.

Pese a estas diferencias, Kaspersky Lab ha insistido en que Bad Rabbit y ExPetr comparten creadores. Ambos ‘malware’ utilizan un algoritmo ‘hash’ similar, y los expertos de Kaspersky Lab también han detectado que los dos ataques utilizan los mismos dominios. ExPetr y Bad Rabbit también comparten su intención de hacerse con credenciales de la memoria del sistema, así como de difundirse dentro de la red corporativa por el servicio Instrumental de administración de Windows (WMIC). Sin embargo, los investigadores no han encontrado el ‘exploit’ EternalBlue en el ataque de Bad Rabbit que sí se utilizó en ExPetr.

Bad Rabbit alcanzó casi 200 objetivos, localizados en Rusia, Ucrania, Turquía, Alemania, Kazajistán y China. Todos los ataques tuvieron lugar el pasado martes y no se han detectado nuevos ataques desde entonces, puesto que el servidor desde el que se distribuyó ha estado inactivo desde la noche de ese día 24.

 

Ver información original al respecto en Fuente:

 

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies