研究人员已经创建了一个解密器,它利用了Black Basta勒索软件中的一个缺陷,允许受害者免费恢复他们的文件。
该解密器允许从2022年11月到本月的黑巴斯塔受害者免费恢复他们的文件。然而,BleepingComputer了解到,Black Basta开发人员在大约一周前修复了他们加密程序中的漏洞,防止这种解密技术被用于新的攻击。
Black Basta的缺陷
“Basta Buster”解密器来自安全研究实验室(SRLabs),该实验室发现了勒索软件团伙的加密器所使用的加密算法中的一个弱点,该加密算法允许发现用于XOR加密文件的ChaCha密钥流。
“我们的分析表明,文件可以恢复,如果64个加密字节的明文是已知的。文件是完全可恢复还是部分可恢复取决于文件的大小,”解释了SRLabs的GitHub存储库中方法的编写过程。
“小于5000字节的文件无法恢复。对于大小在5000字节和1GB之间的文件,完全恢复是可能的。对于大于1GB的文件,第一个5000字节将丢失,但其余的可以恢复。”
当Black Basta加密一个文件时,它使用XChaCha20算法创建的64字节密钥流对内容进行异或操作。但是,当使用流密码对字节仅包含零的文件进行加密时,XOR密钥本身将写入该文件,从而允许检索加密密钥。
勒索软件专家迈克尔·吉莱斯皮(Michael Gillespie)告诉BleepingComputer,Black Basta有一个漏洞,他们在加密过程中重复使用相同的密钥流,从而导致所有包含零的64字节数据块被转换为64字节对称密钥。然后可以提取此密钥并用于解密整个文件。
下图说明了这一点,其中两个64字节的“零”块被XOR,现在包含用于加密文件的密钥流。
虽然解密较小的文件可能是不可能的,像虚拟机磁盘较大的文件通常可以解密,因为它们包含大量的“零字节”部分。
SRLabs解释说:“然而,虚拟化磁盘映像被恢复的几率很高,因为实际的分区和它们的文件系统往往启动得更晚。”
“所以勒索软件破坏了MBR或GPT分区表,但像‘testdisk’这样的工具通常可以恢复或重新生成这些分区表。”
对于不包含大的零字节数据块的文件,sr实验室表示,如果您有一个具有类似数据的旧的未加密版本,则可能仍然有可能恢复文件。
BleepingComputer公司被告知,一些DFIR公司知道这个漏洞,并已利用它几个月,解密他们的客户的计算机,而不必支付赎金。
Black Basta破坏者解密器
SRLabs的研究人员发布了一个名为Black Basta Buster的解密器,它由一组python脚本组成,可以帮助您在不同场景下解密文件。
然而,研究人员创建了一个名为“decryptauto.py”的脚本,试图自动检索密钥,然后用它来解密文件。
BleepingComputer从2023年4月开始使用Black Basta加密器对虚拟机上的文件进行加密,以测试解密器。
当我们使用decryptauto.py脚本时,它自动检索密钥流并解密我们的文件,如下所示。
然而,如前所述,这个解密器只适用于自2022年11月至一周前的黑巴斯塔版本。此外,早期版本的附加.basta扩展名加密的文件,而不是一个随机的文件扩展名不能解密使用此工具。
解密器一次只能对一个文件起作用,所以如果你想解密整个文件夹,你需要使用一个shell脚本或者‘find’命令,如下所示。只要确保根据需要替换扩展名和文件路径即可。
虽然新的黑受害者将不再能够恢复他们的档案免费,年长的受害者可能更幸运,如果他们坚持一个解密。
Black Basta是什么?
Black Basta勒索软件团伙于2022年4月启动行动,成为最新的对企业受害者进行双重勒索攻击的网络犯罪团伙。
到2022年6月,Black Basta已经与QBot恶意软件操作(QakBot)合作,放弃Cobalt Strike以远程访问企业网络。然后,Black Basta将使用这些信标横向传播到网络上的其他设备,窃取数据,并最终部署加密器。
与其他针对企业的勒索软件操作一样,Black Basta创建了一个Linux加密器来针对Linux服务器上运行的VMware ESXi虚拟机。