BlackByte Ransomware için serbest bir şifre çözücü, geçmiş mağdurların dosyalarını ücretsiz olarak kurtarmalarını sağlamak için serbest bırakıldı.
Yürütüldüğünde, çoğu fidye yazılımı, bir kurbanın cihazını şifrelemek için kullanılan oturumlar tuşları olarak bilinen dosya başına benzersiz bir şifreleme anahtarı veya tek bir anahtar oluşturacaktır.
Bu tuşlar daha sonra bir halka açık RSA anahtarıyla şifrelenir ve şifreli bir dosyanın sonuna veya fidye notuna eklenir. Bu şifreli anahtar şimdi yalnızca yalnızca Ransomware işlemi için bilinen ilişkili özel şifre çözme anahtarı tarafından şifresi çözülebilir.
Bu, tehdit aktörlerinin bir mağdurun bir fidye ödediğinde şifreli anahtarların şifresini çözebileceği için yapar.
Güvenwave tarafından bir raporda, araştırmacılar Ransomware'in, kontrol altındaki bir uzak siteden 'Forest.png' adlı bir dosyayı indirdiğini açıklıyor. Bu dosya bir resim dosyası olarak görünmek için belirlenirken, bir cihazı şifrelemek için kullanılan AES şifreleme tuşunu içerir.
BlackByte AES simetrik şifrelemesi kullandığı için, aynı anahtar hem dosyaların hem şifrelemesi hem de şifreleme için kullanılır.
Blackbyte ayrıca indirilen AES şifreleme anahtarını da şifrelerken ve fidye notuna eklerken, TrustWave, Ransomware çetesinin aynı Forest.png dosyasını birden fazla mağdur için yeniden kullandığını keşfetti.
Aynı 'ham' şifreleme anahtarı yeniden kullanıldığı gibi, TrustWave, bir kurbanın dosyalarını ücretsiz olarak kurtaran bir şifre çözücü oluşturmak için bu anahtarı kullanabilir.
Bununla birlikte, buna göre ücretsiz şifrelemecileri serbest bırakırken her zaman dezavantajlar vardır.
TrustWave'nin raporu ve decryptor, birden fazla anahtar kullandıklarını uyaran fidyeware çetesi tarafından farkedilemedi ve decryptorptor'u yanlış anahtarla birlikte kullanılan bir kurbanın dosyalarını yozlaşacak.
"Bizim fidem için bir şifre çözme olduğu bazı yerlerde gördük. Bunu kullanmanızı tavsiye etmiyoruz. Çünkü sadece 1 anahtar kullanmıyoruz. Sisteminiz için yanlış şifre çözmeyi kullanırsanız, her şeyi kırabilir ve Sisteminizi tekrar geri yükleyebilmeyeceksiniz. Sadece sizi kullanmaya karar verirseniz, kendi sorumluluğunuzdadır. " - Blackbyte.
Blackbyte kurbanıysanız ve TrustWave'nin şifrelicesini kullanmak istiyorsanız, kaynak kodunu GitHub'dan indirmeniz ve kendiniz derlemeniz gerekir.
TrustWave, şifre çözme anahtarını çıkarmak için kullanılacak bir varsayılan 'forest.png' dosyasını içerdiğinde, BlackByte'nin bu dosyada indirilen şifreleme tuşlarını döndürmesi mümkün olabilir.
Bundan dolayı, onları şifresini çözmeye çalışmadan önce dosyaları yedeklemeniz şiddetle tavsiye edilir.
Ayrıca, şifreli bir cihazda 'forest.png' dosyanız varsa, bu dosyayı TrustWave'nin şifreliği ile birlikte verilen yerine kullanmalısınız.
Blackbyte, 2021 Temmuz ayının başlarında dünya çapındaki kurumsal kurbanları hedeflemeye başlayan bir fidye yazılımı operasyonudur.
Ransomware'in ilk raporları, mağdurların dosyalarını şifresini çözmesinde yardım aradıktan sonra BleepingComputer forumlarında yaklaşık bir hafta sonra ortaya çıktı.
C #'da yazılmış Blackbyte, bir cihazı başarılı bir şekilde şifrelemek için sayısız güvenlik, posta sunucusu ve veritabanı işlemini sonlandırmaya çalışacaktır.
Ransomware, şifrelemeyi denemeden önce Microsoft Defender'ı hedef cihazlarda devre dışı bırakmaya çalışacaktır.
Blackbyte, diğer fidye yazılımı operasyonları kadar aktif olmasa da, dünya çapında birçok saldırı yaptılar ve göz ardı edilmemelidir.
Ragnarok Ransomware, kapatıldıktan sonra Master Decryptor'u serbest bıraktı
Ransomware Gang, müzakereci işe alındığında şifre çözme anahtarını silmek için tehdit ediyor
Free Revil Ransomware Master Decrypter geçmiş mağdurlar için serbest bırakıldı
Ransomexx Ransomware Linux Encryptör, mağdurların dosyalarına zarar verebilir
Ransomware'deki hafta - 17 Eylül 2021 - Yeniden Şifrelendi
Kaynak: Bleeping Computer