独立的安全研究和咨询团队SRLabs发现了Black Basta勒索软件加密算法中的漏洞,并利用它创建了一个免费的解密工具。Black Basta勒索软件组自2022年4月以来一直活跃,就像其他勒索软件操作一样,它实施了双重勒索攻击模型。Elliptic和Corvus Insurance的联合研究表明,该组自2022年初以来累计获得了至少1.07亿美元的比特币赎金支付。根据专家的说法,勒索软件团伙感染了超过329个受害者,包括ABB、Capita、Dish Network和Rheinmetall等公司。研究人员分析了区块链交易,发现了Black Basta与Conti Group之间的明确关系。
2022年,Conti黑客团伙停止了其活动,与此同时,Black Basta团伙在威胁景观中出现了。该组主要通过俄罗斯加密货币交易所Garantex洗钱非法资金。SRLabs分析了勒索软件使用的加密算法,并发现了该团伙在2023年4月左右使用的变种中的一个特定弱点。勒索软件采用基于ChaCha密钥流的加密,该密钥流用于对文件的64字节长块执行XOR操作。研究人员确定,加密块的位置由文件大小决定。
根据文件大小,勒索软件加密前5000个字节。研究人员指出,“我们的分析表明,如果已知64个加密字节的纯文本,则可以恢复文件。文件是否可以完全或部分恢复取决于文件的大小。大小小于5000字节的文件无法恢复。对于大小在5000字节和1GB之间的文件,可以完全恢复。对于大于1GB的文件,前5000个字节将丢失,但剩余部分可以恢复。”研究人员发表的帖子中写道:“恢复取决于知道文件的64个加密字节的纯文本。换句话说,仅知道64个字节并不足够,因为已知纯文本字节需要位于文件的加密部分根据恶意软件确定哪些部分需要加密。对于某些文件类型,在正确位置上知道64个纯文本字节是可行的,特别是虚拟机磁盘镜像。”专家指出,这种弱点不影响文件前5000个字节的加密过程,因此这些字节无法恢复。这意味着大小小于5000字节的文件无法恢复。SRLabs开发了工具,使用户能够分析加密文件并确定是否可以解密。decryptauto工具可能允许恢复包含加密零字节的文件。
“根据恶意软件加密文件的次数和程度,需要进行手动审查才能完全恢复文件。”研究人员继续说道。坏消息是,Black Basta已经修复了这个问题。解密程序只能恢复在2023年12月之前加密的文件。“解密程序允许Black Basta受害者从2022年11月到本月可能免费恢复他们的文件。然而,BleepingComputer得知,Black Basta开发人员大约一周前修复了加密例程中的漏洞,防止使用该解密技术进行新攻击。”报道Bleeping Computer称。
原文始发于微信公众号(黑猫安全):研究人员发布了一款免费的Black Basta勒索软件解密工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论