Investigadores da Kaspersky Lab defendem que, ao contrário do NotPetya, o Bad Rabbit não é um wiper, ou seja, análises ao algoritmo do malware sugerem que só os hackers possuem os meios de desencriptação necessários para a recuperação do disco afetado.

Os especialistas descobriram que o código de ransomware do Bad Rabbit não contém os erros típicos que poderiam ser utilizados para desencriptar os ficheiros das vítimas. Não há forma de desencriptar a informação sem a chave pessoal dos hackers. No entanto, encontraram uma falha no código dispci.exe, o que significa que o malware não apaga a palavra-passe gerada pela memória – o que cria uma ínfima possibilidade de a extrair, refere-se numa nota enviada às redações.

A empresa de segurança informática já tinha confirmado que o ataque de ransomware Bad Rabbit está associado aos criadores do ataque NotPetya que ocorreu em junho deste ano. Ambos os mesmos domínios e existem semelhanças nos respetivos códigos fonte.

O Bad Rabbit atingiu quase 200 alvos, localizados na Rússia, Ucrânia, Turquia, Alemanha, Cazaquistão e China. Portugal parece ter ficado de fora, desta vez, com o Centro Nacional de Cibersegurança (CNCS) a afirmar não ter registado qualquer incidente.

Os ataques começaram a 24 de outubro, e novos ataques foram detetados desde então. O principal servidor, 1dnscontrol[.]com, através do qual o dropper do Bad Rabbit foi distribuído, tem estado em baixo.