据Security Affairs消息,独立安全研究和咨询团队 SRLabs 发现了Black Basta勒索软件加密算法中存在的漏洞,并利用该漏洞成功创建了免费解密器。
SRLabs发现,Black Basta勒索软件采用基于 ChaCha 密钥流的加密算法,利用该算法对 64 字节长的文件块执行 XOR 操作,并确定加密块的位置是由文件大小决定,根据文件大小,勒索软件会加密前 5000 个字节。
研究人员进而分析表明,如果已知 64 个加密字节的明文,则可以恢复文件。文件是否完全或部分可恢复取决于文件的大小。小于 5000 字节的文件无法恢复。对于大小在 5000 字节到 1GB 之间的文件,可以完全恢复。对于大于 1GB 的文件,前 5000 字节将丢失,但其余部分可以恢复。
但同时,研究人员强调,恢复取决于了解文件 64 个加密字节的明文。换句话说,知道 64 字节本身是不够的,因为已知的明文字节需要位于文件的某个位置,该位置要根据恶意软件确定要在文件的某部分逻辑进行加密。对于某些文件类型,知道正确位置的 64 字节明文是可行的,尤其是虚拟机磁盘映像。
SRLabs 开发的工具使用户能够分析加密文件并确定是否可以解密。但稍显遗憾的是,Black Basta 已经解决了这个漏洞,解密器仅支持恢复 2023 年 12 月之前加密的文件。
Elliptic 和 Corvus Insurance 的联合研究显示,自 2022 年初以来,Black Basta已累计获得了至少 1.07 亿美元的比特币赎金。专家称,该勒索软件团伙已感染超过 329 家受害企业,其中包括 ABB、 Capita、 Dish Network和 Rheinmetal。
参考来源:RESEARCHERS RELEASED A FREE DECRYPTOR FOR BLACK BASTA RANSOMWARE