Утилита от Trustwave эксплуатирует уязвимость в процессе шифрования BlackByte.
ИБ-компания Trustwave выпустила бесплатную утилиту для восстановления данных, зашифрованных вымогательским ПО BlackByte, позволяющую жертвам вымогателя вернуть свои файлы без уплаты выкупа. Скачать утилиту можно с GitHub.
Декриптор эксплуатирует уязвимость в процессе шифрования BlackByte. В состоящем из двух частей техническом анализе специалисты Trustwave сообщают, что процесс шифрования BlackByte начинается после загрузки поддельного графического файла forest.png на все компьютеры атакуемой организации.
Этот файл содержит криптографический "ключ-заготовку", из которого вымогательское ПО извлекает ключи для шифрования файлов жертв. С его же помощью генерируется ключ, обеспечивающий жертве доступ к даркнет-порталу, где проходят переговоры с вымогателями и выплачивается выкуп.
По словам исследователей, у BlackByte этот процесс проще, чем у других кибервымогателей. Выпущенный ими декриптор автоматически извлекает из файла forest.png "ключ-заготовку" и вычисляет криптографический ключ для восстановления зашифрованных данных.
Сам файл forest.png также включен в утилиту, но пользователям рекомендуется заменить его файлом, обнаруженным на их системах.
Операторы BlackByte быстро отреагировала на релиз декриптора, попытавшись запугать своих жертв. В понедельник, 18 октября, они опубликовали на своем портале в даркнете предупреждение для компаний об опасности использования утилиты Trustwave.
"Мы не рекомендуем вам использовать его, поскольку мы не используем только один ключ. Воспользовавшись неправильной дешифровкой для своей системы, вы можете все испортить и лишиться возможности восстановить свою систему. Мы просто хотим предупредить вас, что если вы решите использовать его (декриптор Trustwave — ред.), то это будет на ваш страх и риск", — говорится в сообщении.
Хотя утилита, безусловно, поможет компаниям, уже пострадавшим от BlackByte, но благодаря ей об уязвимости стало известно и самим вымогателям, и они наверняка ее исправят.
BlackByte является новым игроком на кибервымогательской арене (впервые о группировке стало известно в конце прошлого месяца), поэтому неудивительно, что в используемом ею алгоритме шифрования есть недочеты. У группировки есть свой сайт утечек для публикации данных жертв, отказавшихся платить выкуп. Пока что на сайте представлено только восемь организаций.
Источник: securitylab