Опубликован бесплатный дешифратор для вымогателя BlackByte
22.10.2021
Эксперты компании
Trustwave выпустили бесплатную утилиту для жертв вымогателя BlackByte,
которую те могут использовать для расшифровки и восстановления
пострадавших файлов. Уже доступный на GitHub дешифратор работает благодаря эксплуатации бага в коде вымогателя.
Исследователи опубликовали развернутый технический анализ малвари в двухчастях,
в котором рассказывают, что процедура шифрования BlackByte начинается с
того, что хакеры загружают на машину жертвы фальшивый файл изображения
forest.png. На самом деле этот файл содержит криптографический ключ,
который малварь использует для получения ключей шифрования для файлов
жертвы, а затем генерирует ключ доступа, который предоставит
пострадавшему доступ к сайту в даркнете, через который хакеры ведут
переговоры и получают выкупы. Исследователи пишут, что по сравнению с
другими шифровальщиками этот процесс можно назвать весьма простым.
Дешифратор, представленный Trustwave, автоматизирует процесс чтения
ключа из файла forest.png, а затем вычисляет ключ дешифрования,
необходимый для восстановления файлов жертвы. В дешифратор уже включен
файл forest.png, и жертвам рекомендуется заменить его на файл из их
собственных систем.
Интересно, что выпуск дешифратора крайне не понравился разработчикам
BlackByte. В начале текущей недели хак-группа опубликовала сообщение на
своем сайте и попыталась отпугнуть пострадавших от использования
дешифратора. Хакеры заявляют, что использовали более одного ключа и
применение инструмента с неправильным ключом (файлом forest.png) может
привести к непоправимому повреждению файлов жертв. Экспертов Trustwave
SpiderLabs злоумышленники и вовсе называют "клоунами".
Шифровальщик BlackByte появился летом 2021 года, а сообщения о первых атаках стали поступать от пользователей в конце сентября.
Написанный на C # шифровальщик пытается завершить многочисленные
защитные процессы на зараженной машине, а также процессы почтового
сервера и баз данных, чтобы успешно зашифровать устройство. Также
вымогатель пытается отключить Microsoft Defender на целевых устройствах
перед попыткой шифрования.
Записка с требованием выкупа
На даркнет-сайте группировки, где хакеры перечисляют своих жертв,
отказавшихся заплатить выкуп, пока размещено всего восемь записей.