Pesquisadores de segurança publicaram um novo conjunto de ferramentas desenvolvidas para ajudar as vítimas do ransomware Black Basta a recuperar seus arquivos. O Laboratório de Pesquisa de Segurança (SRLabs), com sede em Berlim, Alemanha, disse em uma postagem recente na plataforma de hospedagem de código GitHub que as ferramentas exploram uma fraqueza no algoritmo de criptografia.
Black Basta usa um keystream (fluxo de chaves) ChaCha usado para criptografar um arquivo XOR da vítima em pedaços de 64 bytes. “Nossa análise sugere que os arquivos podem ser recuperados se o texto simples de 64 bytes criptografado for conhecido. Se um arquivo é total ou parcialmente recuperável depende do tamanho do arquivo”, explicou o SRLabs.
Segundo os pesquisadores, arquivos abaixo do tamanho de 5.000 bytes não podem ser recuperados. “Para arquivos entre 5.000 bytes e 1 GB, a recuperação completa é possível. Para arquivos maiores que 1 GB, os primeiros 5.000 bytes serão perdidos, mas o restante poderá ser recuperado.”
As ferramentas funcionam especificamente quando Black Basta criptografa arquivos contendo apenas zeros, e é por isso que funciona principalmente para arquivos maiores.
“Para certos tipos de arquivo, é viável saber 64 bytes de texto simples na posição correta, especialmente imagens de disco de máquinas virtuais”, disse SRLabs.
“Construímos algumas ferramentas que podem ajudar a analisar arquivos criptografados e verificar se a descriptografia é possível. Por exemplo, a ferramenta decryptauto pode recuperar arquivos contendo zero bytes criptografados. Dependendo de quantas vezes e até que ponto o malware criptografou o arquivo, será necessária uma revisão manual para recuperar totalmente o arquivo.”
Veja isso
Descriptografador de ransomware disponível gratuitamente
Ataque pode descriptografar chamadas 4G para espionar conversas
No entanto, as ferramentas de descriptografia só funcionarão para a variante do ransomware Black Basta usada por volta de abril de 2023, enfatizaram os pesquisadores.
Black Basta é uma das operações de ransomware como serviço de maior sucesso, tendo gerado mais de US$ 100 milhões em receitas desde abril de 2022. Seus desenvolvedores são suspeitos de terem links para o agora extinto grupo Conti e malware Qakbot.Para ter acesso à postagem do SRLabs, em inglês, na plataforma de hospedagem de código GitHub clique aqui.