"Bad Rabbit" yaradıcıları tərəfindən buraxılmış az əhəmiyyətli əməliyyat xətaları nəticəsində bəzi qurbanlar şantajçının tələb etdiyi ödənişi etmədən öz fayllarını geri qaytara bilərlər.

Mediatv.az xəbər verir ki, Xüsusi Dövlət Mühafizə Xidmətinin Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Agentliyinin tərkibində fəaliyyət göstərən Kompüter İnsidentlərinə qarşı Mübarizə Mərkəzindən "APA-Economics"ə verilən məlumata görə, "Bad Rabbit"in əsas problemi yoluxmuş sistemdən “görünməz” nüsxələrini silməməsidir.

“Zərərverici faylın nüsxəsini yaradır, onu şifrələyir və əslini sistemdən silir. Yaddaş diskində görünməz nüsxələr boş yerin mövcudluğundan asılı olaraq qeyri-müəyyən zaman ərzində diskdə saxlanılır. Əksər şantajçı proqramlar öz görünməz fayllarını silirlər ki, müxtəlif bərpa proqramları vasitəsilə aşkara çıxmasınlar. Görünməz nüsxələrin mövcudluğu zərərçəkmiş şəxsə onun bütün fayllarının bərpasına zəmanət verməsə də, sənədlərin heç olmasa bir hissəsini qaytarmaq imkanı verir”, - deyə məlumatda qeyd olunur.

Həmçinin təhqiqatçılar tərəfindən aşkar olunan ikinci xəta faylların deşifrəsi üçün olan parollarla əlaqədardır. “Bad Rabbit” qurbanlarının fayllarını MFT verilənlər bazası yolu ilə şifrələyir və əsas ekranda özünəməxsus yüklənmə yazısı ilə əvəzləyir.

Bundan başqa, təhqiqatçılar “dispci.exe” faylının kodunda da boşluq aşkar ediblər. Məlum olub ki, troyan generasiya olunmuş şifrəni yaddaşdan silmir, deməli, “dispci.exe” prosesinin bitməsinə qədər şifrənin əldə olunması ehtimalı var. Sadəcə olaraq, problem ondadır ki, kompüter yenidən yüklənəndən sonra şifrə yaddaşdan silinir və ödəniş olunmadan onu əldə etmək mümkünsüz olur.

Tomun Kölgə Köçürmə Xidməti - (Volume Shadow Copy Service) – hal-hazırda işləyən, həmçinin sistem və blok edilmiş faylların nüsxəsini çıxaran “Windows” əməliyyat sistemi xidmətidir. Sistemin bərpası və arxiv olunması üçün labüd proqramlardır (Paragon Drive Backup, Acronis True Image, Leo Backup R Drive Image və s.)

Qeyd edək ki, bir müddət öncə müxtəlif ölkələrdə 200-dən çox dövlət qurumunun və özəl təşkilatların informasiya sistemlərinə zərbə vuran “Bad rabbit” adlandırılan ransomware virusu aşkarlanıb. Virus “Win32/Diskcoder.D” “Trojan-Ransom.Win32.Gen.f”, “Win32/Tibbar”, “Troj/Ransom-ERK” adları altında sistemlərə nüfuz edir. Hücumçu kompüter sistemlərini kilidləyir və açılması üçün qurbandan 0,05 bitcoin (~ $285) tələb edir. Belə ki, virus bəzi rus xəbər media saytlarına daxil olan istifadəçilərə saxta "Adobe Flash Player"də yenilik barəsində pop-up reklam mesajı kimi təqdim olunaraq yayılıb. Bununla yanaşı, istifadəçilər bu və ya digər təhlükəli saytlara daxil olduğu zaman zərərli fayllardan ibarət olan saytlara yönləndirilir.