El 'ransomware' Bad Rabbit permite recuperar los archivos que encripta, a diferencia de ExPetr

Contador
Ransomware Bad Rabbit
KASPERSKY LAB
Publicado 27/10/2017 17:30:02CET

   MADRID, 27 Oct. (Portaltic/EP) -

La compañía de ciberseguridad Kaspersky Lab ha confirmado que el 'ransomware' Bad Rabbit, que este martes atacó a dispositivos en Rusia, Ucrania, Turquía, Alemania, Kazajistán y China, no es un virus de tipo 'wiper'. Esto implica que los archivos que encripta pueden ser recuperados a través de una clave privada, sin volverse irrecuperables.

Como ha explicado la firma rusa a través de un comunicado, este aspecto diferencia a Bad Rabbit de ExPetr --también conocido como Petya o NotPetya--, a pesar de que ambos gusanos fueron desarrollados por los mismos cibercriminales. El portal SecureList de Kaspersky Lab ha detallado que Bad Rabbit tiene la capacidad de descifrar la información necesaria para la recuperación del disco duro, algo que ExPetr no permite.

Esto significa que los archivos cifrados por Bad Rabbit pueden ser recuperados si se paga el rescate exigido por sus responsables, mientras que la recuperación de archivos es imposible con ExPetr. En este sentido, el análisis de Kaspersky Lab ha certificado que los autores de Bad Rabbit podían usar su propia clave privada para descifrar la información de identificación de infección y enviarla a la víctima; en el caso de ExPetr, era imposible extraer esta información utilizada para la clave de descifrado de datos.

   Por otra parte, Kaspersky Lab ha advertido que el código Bad Rabbit no contiene el tipo de errores que podrían usarse para descifrar los archivos y datos de las víctimas, por lo que no hay forma de desencriptar la información sin la clave privada del atacante. Aún así, los expertos han encontrado un error en el código dispci.exe del 'malware' que refleja que este no borra de la memoria la contraseña generada, por lo que existe una pequeña posibilidad de extraerla antes de que se ejecute este código.

   Pese a estas diferencias, Kaspersky Lab ha insistido en que Bad Rabbit y ExPetr comparten creadores. Ambos 'malware' utilizan un algoritmo 'hash' similar, y los expertos de Kaspersky Lab también han detectado que los dos ataques utilizan los mismos dominios. ExPetr y Bad Rabbit también comparten su intención de hacerse con credenciales de la memoria del sistema, así como de difundirse dentro de la red corporativa por el servicio Instrumental de administración de Windows (WMIC). Sin embargo, los investigadores no han encontrado el 'exploit' EternalBlue en el ataque de Bad Rabbit que sí se utilizó en ExPetr.

   Bad Rabbit alcanzó casi 200 objetivos, localizados en Rusia, Ucrania, Turquía, Alemania, Kazajistán y China. Todos los ataques tuvieron lugar el pasado martes y no se han detectado nuevos ataques desde entonces, puesto que el servidor desde el que se distribuyó ha estado inactivo desde la noche de ese día 24.

Esta web utiliza cookies propias y de terceros para analizar su navegación y ofrecerle un servicio más personalizado y publicidad acorde a sus intereses. Continuar navegando implica la aceptación de nuestra política de cookies -
Uso de cookies