Κυκλοφόρησε ένας δωρεάν BlackByte ransomware decryptor, επιτρέποντας στα προηγούμενα θύματα να ανακτήσουν τα αρχεία τους δωρεάν.
Όταν εκτελούνται, τα περισσότερα ransomware παράγουν ένα μοναδικό κλειδί κρυπτογράφησης ανά αρχείο ή ένα μόνο κλειδί ανά μηχάνημα γνωστό ως sessions keys που χρησιμοποιούνται για την κρυπτογράφηση της συσκευής ενός θύματος.
Δείτε Ακόμα: Ζητείται Information Security Engineer για μεγάλο ISP provider – Αποστολή Βιογραφικών
Αυτά τα κλειδιά κρυπτογραφούνται στη συνέχεια με ένα δημόσιο RSA key και προσαρτώνται στο τέλος ενός κρυπτογραφημένου αρχείου ή ενός ransom note. Αυτό το κρυπτογραφημένο κλειδί μπορεί να αποκρυπτογραφηθεί μόνο από το σχετικό ιδιωτικό κλειδί αποκρυπτογράφησης που είναι γνωστό μόνο στους hackers οι οποίοι επιλέγουν να το δώσουν στα θύματα όταν πληρωθούν τα απαιτούμενα λύτρα.
Σε μια έκθεση της Trustwave, οι ερευνητές εξηγούν ότι το BlackByte ransomware κατέβαζε ένα αρχείο που ονομάζεται «forest.png» από έναν απομακρυσμένο ιστότοπο ο οποίος βρισκόταν υπό τον έλεγχό των hakcers. Ενώ αυτό το αρχείο ονομάζεται να εμφανίζεται ως αρχείο εικόνας, περιέχει στην πραγματικότητα το AES encryption key που χρησιμοποιείται για την κρυπτογράφηση μιας συσκευής.
Δείτε Ακόμα: Apple «Unleashed»: Όσα παρουσιάστηκαν στο event της εταιρείας
Καθώς το BlackByte χρησιμοποιεί AES symmetrical encryption, το ίδιο κλειδί χρησιμοποιείται τόσο για την κρυπτογράφηση όσο και για την αποκρυπτογράφηση αρχείων.
Μια εύστοχη παρατήρηση της Trustwave είναι οτι οι hackers ξαναχρησιμοποιούσαν το ίδιο αρχείο forest.png για πολλά θύματα. Καθώς το ίδιο «ακατέργαστο» κλειδί κρυπτογράφησης επαναχρησιμοποιούνταν, η εταιρεία ασφαλείας σκέφτηκε οτι θα μπορούσε να χρησιμοποιήσει αυτό το κλειδί για να δημιουργήσει έναν decryptor που θα ανακτήσει τα αρχεία ενός θύματος δωρεάν.
Ωστόσο, υπάρχουν πάντα μειονεκτήματα κατά την κυκλοφορία δωρεάν decryptor όπως οτι οι hackers ειδοποιούνται άμεσα για την ύπαρξη “σφαλμάτων” στα προγράμματά τους τα οποία φροντίζουν να διορθώνουν άμεσα.
Δείτε Ακόμα: Facebook – Αλλάζει όνομα η γνωστή social media εταιρεία;
Η έκθεση και ο decryptor της Trustwave δεν πέρασαν απαρατήρητα στους δημιουργούς του ransomware, οι οποίοι προειδοποίησαν ότι έχουν χρησιμοποιηθεί περισσότερα από ένα κλειδιά και ότι η χρήση του decryptor με λάθος κλειδί θα καταστρέψει τα αρχεία ενός θύματος.
Εάν έχετε πέσει θύμα του BlackByte και θέλετε να χρησιμοποιήσετε τον decryptor της Trustwave, θα πρέπει να κατεβάσετε τον πηγαίο κώδικα από το Github και να κάνετε compile μόνοι σας.
Δείτε Ακόμα: Η Κίνα δοκίμασε υπερηχητικό πύραυλο σε τροχιά- Σε συναγερμό οι ΗΠΑ!
Το BlackByte είναι μια επιχείρηση ransomware που άρχισε σιγά σιγά να στοχεύει εταιρικά θύματα παγκοσμίως στις αρχές Ιουλίου 2021.
Ενώ το BlackByte δεν είναι τόσο ενεργό όσο άλλες επιχειρήσεις ransomware, έχει πραγματοποιήσει με επιτυχία πολλές επιθέσεις παγκοσμίως και πρέπει να ληφθεί σοβαρά υπόψη.
Με πληροφορίες από bleepingcomputer.com
