Os pesquisadores do SRLabs publicaram um descriptografador gratuito para o ransomware BlackBasta. Eles descobriram a vulnerabilidade na forma como o malware lida com o processo de criptografia e encontraram uma maneira de recuperar a chave de criptografia e recuperar os arquivos. O descriptografador se chama Black Basta Buster e está disponível gratuitamente na página GitHub dos desenvolvedores.
Black Basta Decryptor disponível ao público
Estar atrasado para 2 dias, SRLabs fez um presente incrível de Ano Novo para algumas empresas atacado pelo ransomware Black Basta. Em janeiro 2, 2024, analistas publicaram o utilitário chamado Black Basta Buster em seu GitHub, com a explicação de como isso funciona. No entanto, as limitações também estão aqui: a descriptografia não é garantida; nem todos os arquivos podem ser descriptografados; nem todas as versões do ransomware são suportadas.
Então, aos detalhes. Como SRLabs diz na descrição do utilitário, a principal coisa que isso afeta é o erro no avanço da chave XOR. Isso leva ao uso da mesma chave de 64 bits para todo o arquivo. Analisando o arquivo, particularmente as seções preenchidas com zeros, é possível recuperar a chave e usá-la para descriptografar o arquivo. O procedimento deve ser repetido para cada arquivo.
No entanto, Conforme mencionei, a descriptografia tem suas limitações e “circunstâncias recomendadas”. O referido erro chave de avanço não acontece no primeiro 5000 bytes do arquivo criptografado, o que significa que arquivos menores que isso estão fora da grade da ferramenta. Os desenvolvedores também observam que o desempenho máximo é alcançado ao trabalhar com arquivos em um disco de máquina virtual. Devido à forma específica como o ransomware opera, Os arquivos VM têm muito mais probabilidade de serem criptografados com o bug mencionado acima.
Outra limitação é a data do ataque. Black Basta supostamente usou o criptografador falho de novembro 2022 até dezembro 2023. Provavelmente, a gangue resolverá o problema e o descriptografador não funcionará para novos ataques.
Esse é o fim para Black Basta?
Provavelmente, não é. A infame gangue que surgiu na primavera 2022 há rumores to be the ancestor of Conti ransomware, um infame ator ameaçador que cessou sua atividade um mês antes da aparição de Black Basta. Portanto, seus hackers têm experiência suficiente para encontrar e corrigir a falha em questão de dias. O valor dos resgates pagos desde novembro 2022 fazer com que seja completamente aceitável que eles percam parte da receita potencial.
Houve alguns casos em que pesquisadores elaborou um descriptografador para uma família de ransomware atualmente em execução. Lockbit está entre os mais famosos, embora também houvesse ferramentas for Akira e ransomware BlackByte. Como 2 fora de 3 ainda estão em execução, é óbvio que tal situação nada mais é do que um pequeno inconveniente.
Como se proteger contra ataques de ransomware?
Ransomware se tornou uma grande ameaça para usuários domésticos e corporações nos últimos 7 anos. Além disso, a evolução das suas práticas e tácticas torna a criação de uma protecção abrangente um processo longo e problemático. No entanto, existem várias dicas que tornarão a possibilidade de um ataque de ransomware muito menor.
Tenha cuidado com mensagens de e-mail. Email spam is a primary spreading vector para muitos tipos de malware, não apenas ransomware. Revendo o remetente e o arquivo/link anexado, você pode evitar ser infectado.
Instale as atualizações mais recentes de software e firmware. Exploração de vulnerabilidade é o pão com manteiga dos hackers quando se trata de movimento lateral e implantação de carga útil. A maior parte da exploração acontece depois que a vulnerabilidade se torna pública e é corrigida – então não hesite em atualizar os programas que você usa.
Evite usar software crackeado. As rachaduras são um terreno fértil ideal para diferentes malwares devido à interferência obrigatória ao código do programa. Esta abordagem de disseminação existe há várias décadas, e atormenta usuários domésticos e estações de trabalho.
Empregue o uso de um software anti-malware confiável. Ao ter um software antimalware, você garante que o malware não escapará por um método que você não conhece. Uma solução de segurança bem projetada detectará e removerá até mesmo o malware mais recente com sistemas heurísticos e de detecção de IA. Antimalware GridinSoft é um programa que oferece essa funcionalidade – experimente.