BlackByte 勒索软件的免费解密器已经发布,允许过去的受害者免费恢复他们的文件。
执行时,大多数勒索软件会为每个文件或每台机器生成一个唯一的加密密钥,称为会话密钥,用于加密受害者的设备。
然后,这些密钥使用公共 RSA 密钥加密,并附加到加密文件或赎金票据的末尾。这个加密的密钥现在只能通过关联的私有解密密钥解密,只有勒索软件操作才知道。
这使得威胁行为者可以在受害者支付赎金时解密加密的密钥。
BlackByte 重用加密密钥
研究人员解释说,勒索软件正在从他们控制的远程站点下载一个名为“forest.png”的文件。虽然此文件被命名为图像文件,但它实际上包含用于加密设备的 AES 加密密钥。
由于 BlackByte 使用 AES 对称加密,因此文件的加密和解密使用相同的密钥。
虽然 BlackByte 还对这个下载的 AES 加密密钥进行加密并将其附加到赎金票据中,但 Trustwave 发现勒索软件团伙正在为多个受害者重复使用同一个 Forest.png 文件。
由于重复使用相同的“原始”加密密钥,Trustwave 可以使用该密钥构建一个免费恢复受害者文件的解密器。
然而,在发布这样的免费解密器时总是有缺点,因为它会提醒勒索软件团伙他们程序中的错误并迅速修复。
Trustwave 的报告和解密器并没有被勒索软件团伙忽视,他们警告说他们使用了多个密钥,并且使用带有错误密钥的解密器会损坏受害者的文件。
“我们在某些地方看到我们的赎金有解密。我们不建议您使用它。因为我们不只使用 1 个密钥。如果您对系统使用错误的解密,您可能会破坏一切,并且您将无法再次恢复您的系统。我们只是想警告您,如果您决定使用它,风险自负。” – 黑字节。
如果您是 BlackByte 的受害者并想使用 Trustwave 的解密器,则需要从 Github下载 源代码并自行 编译。
虽然 Trustwave 包含一个默认的“forest.png”文件,用于提取解密密钥,但 BlackByte 可能会轮换下载在该文件中的加密密钥。
因此,强烈建议您在尝试解密文件之前备份文件。
此外,如果您在加密设备上有一个“forest.png”文件,您应该使用该文件而不是与 Trustwave 的解密器捆绑在一起的文件。
谁是黑字节?
BlackByte 是一项勒索软件操作,于 2021 年 7 月上旬缓慢开始针对全球企业受害者 。
BlackByte 用 C# 编写,将尝试终止众多安全、邮件服务器和数据库进程以成功加密设备。
在尝试加密之前,勒索软件还会尝试在目标设备上禁用 Microsoft Defender。
虽然 BlackByte 不像其他勒索软件活动那样活跃,但它们在全球范围内成功进行了多次攻击,不容忽视。
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun77245.html
微信扫一扫不于多少! 
支付宝扫一扫礼轻情意重 