По словам экспертов из «Лаборатории Касперского», незначительные операционные ошибки разработчиков Bad Rabbit позволяют некоторым пострадавшим вследствие активности вымогательской программы восстановить файлы без выплаты выкупа.
Основной проблемой является то, что Bad Rabbit не осуществляет удаление теневых копий с инфицированной системы. Вредоносная программа создает копию файла, шифрует ее и удаляет оригинальную версию. В это время все зашифрованные файлы имеют статус «в работе», а на диске хранятся их копии, которые были созданы сервисом теневого копирования Windows. Теневые копии находятся на диске, пока есть свободное место, то есть в течение неопределенного времени.
Служба теневого копирования тома Windows дает возможность копировать файлы, с которыми ведется работа в тот или иной момент времени, включая системные и заблокированные файлы.
Большая часть вымогательских программ стирает теневые копии, чтобы в дальнейшем копии оригинальных файлов нельзя было обнаружить посредством программного обеспечения для восстановления диска. По словам исследователей «Лаборатории Касперского», разработчики Bad Rabbit не внедрили в свою программу функционал удаления теневых копий. Сохранение теневых копий, однако, не является гарантией полного восстановления всех файлов, принадлежащих жертве, но дает возможность получить доступу хотя бы к части зашифрованной информации.
Еще одна ошибка, найденная исследователями, относится к паролям для дешифровки файлов. Bad Rabbit осуществляет шифрование файлов жертв посредством шифрования MFT и подменяет главную загрузочную запись на свой экран загрузки. На этом экране присутствует значение «personal installation key#1», которое жертве необходимо оставить на хакерском сайте после уплаты выкупа и получения ключа для дешифровки.
MFT (Master File Table, Главная файловая таблица) является базой данных о содержимом тома с файловой системой NTFS в виде таблицы.
Главная загрузочная запись – это код и данные, которые нужны для загрузки операционной системы, размещенные в первых физических секторах на жестком диске или другого носителя информации.
Специалисты «Лаборатории Касперского» получили во время отладки пароль, генерируемый вредоносной программы. Исследователи попытались воспользоваться им после того, как инфицированная система была заблокирована и перезагружена. Пароль сработал, вследствие чего загрузка системы продолжилась. Однако, данная методика дает возможность обходить лишь кастомизированный загрузчик. После загрузки операционной системы файлы остаются зашифрованными.
Кроме того, эксперты обнаружили ошибку в коде dispci.exe. Выяснилось, что вредоносная программа не удаляет из памяти сгенерированный пароль, а потому сохраняется возможность получения пароля до того, как процесс dispci.exe будет завершен. После перезагрузки устройства происходит удаление пароля из памяти, потому уже невозможно получить его без выплаты выкупа.