黑巴斯塔勒索软件解密发布

安全研究人员发布了一套新的工具，旨在帮助黑巴斯塔勒索软件的受害者恢复他们的文件。

总部位于柏林的安全研究(SR)实验室最近在GitHub的一篇文章中透露，这些工具利用了加密算法的一个弱点。Black Basta使用ChaCha密钥流对64字节长的受害者文件块进行异或加密。

其分析表明，如果知道64个加密字节的明文，文件就可以恢复。文件是完全恢复还是部分恢复取决于文件的大小。

小于5000字节的文件无法恢复。对于大小在5000字节到1GB之间的文件，可以完全恢复。对于大于1GB的文件，前5000字节将丢失，但其余的可以恢复。

当Black Basta加密只包含零的文件时，这些工具特别有效，这就是为什么它主要只适用于较大的文件。

SRLabs说：“对于某些文件类型，知道64字节的明文在正确的位置是可行的，特别是虚拟机磁盘映像。”

他说：“我们已经建立了一些工具，可以帮助分析加密文件，并检查是否可能解密。例如，decryptauto工具可以恢复包含加密零字节的文件。根据恶意软件加密文件的次数和程度，需要手动检查才能完全恢复文件。”

然而，研究人员继续说道：“解密工具只适用于2023年4月左右使用的黑巴斯塔勒索软件变种。”

Black Basta是最成功的勒索软件服务之一，自2022年4月以来已经创造了超过1亿美元的收入。它的开发者被怀疑与现已解散的Conti集团和Qakbot恶意软件有关联。