Новый дешифратор Black Basta использует уязвимость программы-вымогателя для восстановления файлов

[Artifact]

Несмотря на все свои недостатки, инструмент позволяет восстановить самые ценные файлы без уплаты выкупа.

Специалисты Security Research Labs (SRLabs) создали дешифратор, который использует уязвимость в алгоритме шифрования программы-вымогателя Black Basta и позволяет жертвам бесплатно восстанавливать свои файлы.
Особенностью дешифратора Black Basta Buster является его способность восстанавливать файлы, зашифрованные с ноября 2022 года по настоящее время. Однако разработчики Black Basta уже устранили эту уязвимость примерно неделю назад, что делает невозможным использование данной техники дешифрования в более новых атаках.
Суть уязвимости заключается в использовании стандартного шифра XChaCha20 для шифрования файлов. Ошибка разработчиков Black Basta состояла в повторном использовании одного и тот же потока ключей во время шифрования, в результате чего все 64-байтовые фрагменты данных, содержащие только нули, были преобразованы в 64-байтовый симметричный ключ, что позволило специалистам извлечь ключ и использовать его для расшифровки всего файла.
Дешифратор Black Basta Buster состоит из набора скриптов на Python, которые помогают в расшифровки файлов в различных сценариях. Однако, важно отметить, что дешифратор работает только с файлами, зашифрованными версиями Black Basta с ноября 2022 года и до недавнего времени. Кроме того, версии программы, которые добавляли расширение «.basta» к зашифрованным файлам, не поддаются дешифровке с помощью инструмента.
Эффективность Black Basta Buster официально подтверждена, но, несмотря на успех в восстановлении некоторых файлов, дешифратор работает только с одним файлом за раз, что затрудняет процесс восстановления для большого количества данных.
Файлы могут быть восстановлены, если известен открытый текст из 64 зашифрованных байтов. Возможность полного или частичного восстановления файла зависит от его размера. Файлы размером менее 5 000 байт не могут быть восстановлены. Для файлов размером от 5 000 байт до 1 ГБ возможно полное восстановление. Для файлов размером более 1 ГБ первые 5 000 байт будут потеряны, но остальные можно восстановить.
Хотя расшифровка файлов меньшего размера может быть невозможна, файлы большего размера, например, диски виртуальных машин, обычно можно расшифровать, поскольку они содержат большое количество «нулевых» разделов.
Открытие становится особенно важным для жертв вымогательского ПО, которые ранее не имели возможности восстановить свои данные без уплаты выкупа. Теперь у них появился шанс на восстановление ценных файлов без финансовых потерь.