Објављен је бесплатни дешифратор за БлацкБите рансомваре, који омогућава претходним жртвама да бесплатно опораве своје датотеке.
Када се изврши, већина рансомваре-а ће генерисати јединствени кључ за шифровање по датотеци или јединствени кључ по машини, познат као кључеви сесије који се користе за шифровање уређаја жртве.
Ови кључеви се затим шифрују јавним РСА кључем и додају на крај шифроване датотеке или белешке о откупнини. Овај шифровани кључ сада може да се дешифрује само помоћу повезаног приватног кључа за дешифровање познатог само операцији рансомваре-а.
На овај начин, актери претњи могу да разбију шифроване кључеве када жртва плати откуп.
БлацкБите је поново користио кључеве за шифровање
У извештају Трустваве-а, истраживачи објашњавају да је рансомваре преузимао датотеку под називом 'форест.пнг' са удаљене локације под њиховом контролом. Иако је ова датотека именована тако да изгледа као датотека слике, она заправо садржи АЕС кључ за шифровање који се користи за шифровање уређаја.
Пошто БлацкБите користи АЕС симетрично шифровање, исти кључ се користи за шифровање и дешифровање датотека.
Док БлацкБите такође шифрује овај преузети АЕС кључ за шифровање и додаје га у белешку о откупнини, Трустваве је открио да је банда рансомваре-а поново користила исту датотеку форест.пнг за више жртава.
Пошто је исти 'сирови' кључ за шифровање поново употребљен, Трустваве је могао да користи тај кључ за креирање дешифратора који би бесплатно повратио датотеке жртве.
Међутим, увек постоје недостаци пуштања бесплатних дешифратора попут овог, јер упозорава групе рансомваре-а на грешке у њиховим програмима и брзо се поправља.
Извештај и дешифровање Трустваве-а нису остали непримећени од стране рансомваре банде, која је упозорила да користи више од једног кључа и да би коришћење дешифратора са погрешним кључем оштетило датотеке жртве.
„Видели смо на неким местима да постоји дешифровање нашег откупа. Не препоручујемо вам да га користите. јер не користимо само 1 кључ. Ако користите погрешно дешифровање за свој систем, то би могло да поквари све и нећете моћи поново да вратите систем. Желимо само да вас упозоримо, ако одлучите да га користите, то сте на сопствени ризик.' - Црни бајт.
БлацкБите-ов одговор на Трустваве декриптор
Ако сте жртва БлацкБите-а и желите да користите Трустваве дешифратор, мораћете да преузмете изворни код са Гитхуб-а и сами га компајлирате.
Иако је Трустваве укључио подразумевану датотеку 'форест.пнг' која ће се користити за издвајање кључа за дешифровање, могуће је да ће БлацкБите ротирати преузете кључеве за шифровање у тој датотеци.
Из тог разлога, топло се препоручује да направите резервну копију датотека пре него што покушате да их дешифрујете.
Такође, ако имате датотеку 'форест.пнг' на шифрованом уређају, требало би да користите ту датотеку уместо оне која долази са Трустваве дешифровачем.
Ко је Блацкбите?
БлацкБите је операција рансомваре-а која је полако почела да циља на корпоративне жртве широм света почетком јула 2021.
Први извештаји о рансомваре-у појавили су се недељу дана касније на форумима БлеепингЦомпутер након што су жртве тражиле помоћ у дешифровању својих датотека.
БлацкБите порука о откупнини
Написан у Ц#, БлацкБите ће покушати да прекине бројне безбедносне процесе, сервере поште и базе података како би успешно шифровао уређај.
Рансомвер ће такође покушати да онемогући Мицрософт Дефендер на циљним уређајима пре покушаја шифровања.
Иако БлацкБите није тако активан као друге операције рансомвера, он је успешно извео многе нападе широм света и не треба га занемарити.
Шта мислиш?
