Analistas de segurança estão finalizando seus estudos do código da praga digital “Bad Rabbit”, que atacou computadores principalmente na Rússia e na Ucrânia. Especialistas descobriram que a praga explora uma brecha do Windows para se espalhar dentro das redes das empresas e que a praga possui deficiências no código que sequestra os arquivos.

O Bad Rabbit causou problemas para instituições e empresas na Rússia depois que os hackers invadiram sites para injetar janelas falsas de atualização do Adobe Flash Player. Quem caiu no golpe e executou o programa acabou infectando o seu computador – e possivelmente a rede inteira da empresa – com o vírus de resgate.

O vírus, porém, não se espalhou fora dos países alvos e foram registrados apenas casos isolados fora da Ucrânia e, principalmente, da Rússia, que foi o país mais afetado.

Praga tem ligação com o NotPetya e usa brecha EternalRomance

Há indícios de que o vírus foi obra dos mesmos responsáveis pelo ataque do NotPetya, também chamado de ExPetr, que atacou principalmente empresas na Ucrânia em junho. Além do comportamento do vírus, há uma forte semelhança em uma formulação de “hashing” (cálculo que produz um número de tamanho específico a partir de uma informação qualquer).

A ligação entre os dois vírus foi afastada inicialmente, já que o Bad Rabbit não usa o “EternalBlue”, um código atribuído à Agência de Segurança Nacional dos Estados Unidos (NSA) e que foi vazado na web por um grupo anônimo conhecido como Shadow Brokers. Mas especialistas da Cisco descobriram que o vírus é capaz de usar outra técnica vazada pelos Shadow Brokers, a EternalRomance. A falha já foi corrigida pela Microsoft, mas empresas que não atualizaram os seus sistemas permanecem vulneráveis.

O uso da falha EternalRomance contradiz tanto os primeiros relatos sobre o Bad Rabbit — que apontavam o uso da falha EternalBlue — como as análises posteriores, que afirmavam que o vírus não fazia uso de nenhuma brecha.

Recuperação de arquivos sequestrados é possível

Duas deficiências foram identificadas no processo do Bad Rabbit que sequestra os arquivos do computador. Diferente do NotPetya, cuja rotina de criptografia impossibilitava a recuperação dos arquivos e levou o vírus a ser classificado como “wiper” e não um vírus de resgate, as deficiências presentes no Bad Rabbit podem ajudar as vítimas a recuperar os arquivos.

O Bad Rabbit negligencia as chamadas “cópias de sombra” do Windows, onde alguns arquivos ficam armazenados temporariamente. Essa deficiência era comum em vírus de resgates mais antigos, mas quase todos os vírus de resgate mais recentes apagam as cópias de sombra para fechar esse caminho de recuperação.

Com um programa como o Shadow Explorer, há uma chance de que as vítimas consigam recuperar os arquivos sequestrados.

Outro descuido do vírus está em seu gerenciamento de memória. Os especialistas descobriram que a senha que desbloqueia a inicialização do computador fica na memória enquanto o computador não for reiniciado. Isso significa que um computador contaminado pelo Bad Rabbit e que ainda não foi reiniciado pode ser mais facilmente recuperado, especialmente se as duas deficiências forem combinadas. Para quem já reiniciou o computador, porém, essa descoberta não terá utilidade.

Fonte: G1