Black Basta fidye yazılımının kullandığı şifreleme algoritmasındaki bir güvenlik açığı, araştırmacıları ücretsiz bir şifre çözme aracı geliştirmeye yöneltti.
Nisan 2022’den bu yana aktif olan Black Basta fidye yazılımı grubu, kurbanlarının hayati sunucularını ve hassas verilerini şifreleyerek ve hassas bilgileri kamuya açık sızdırma sitelerinde ifşa etmekle tehdit ederek çifte gasp stratejisi uyguluyor.
Suç grubu 2022 yılının başından bu yana en az 107 milyon dolarlık Bitcoin fidye ödemesi aldı. Uzmanlara göre fidye yazılımı çetesinden 329’dan fazla kurban etkilendi.
Bağımsız güvenlik araştırma ve danışmanlık şirketi SRLabs, Black Basta fidye yazılımı kurbanlarının dosyalarını geri almalarına yardımcı olmak için ücretsiz bir şifre çözücü sundu.
Dosyalar Nasıl Kurtarılabilir?
Araştırmacılar, şifrelenmiş 64 baytlık düz metnin bilinmesi durumunda verilerin kurtarılabileceğini iddia ediyor. Bir dosyanın boyutu, tamamen mi yoksa kısmen mi kurtarılabileceğini belirler. Boyutu 5000 bayttan küçük olan dosyalar geri yüklenemez.
Boyutu 5000 bayttan 1 GB’a kadar olan dosyalar için tam kurtarma gerçekleştirilebilir. 1 GB’tan büyük dosyaların ilk 5000 baytı kaybolacaktır; ancak kalan baytlar geri yüklenebilir.
“Kurtarma, dosyanın 64 şifrelenmiş baytının düz metninin bilinmesine bağlı. Başka bir deyişle, 64 baytı bilmek tek başına yeterli değildir, çünkü bilinen düz metin baytlarının, kötü amaçlı yazılımın dosyanın hangi bölümlerini şifreleyeceğini belirleme mantığına dayalı olarak, dosyanın şifrelemeye tabi olan bir konumunda olması gerekir. .
Çeşitli dosya türleri, özellikle de sanal makine disk görüntüleri için 64 baytlık düz metnin doğru konumda olduğunu bilmek mümkündür.
Araştırmacılar, şifrelenmiş dosyaları analiz etmeye ve şifre çözmenin mümkün olup olmadığını belirlemeye yardımcı olacak çeşitli araçlar geliştirdi.
Otomatik şifre çözme aracı, şifrelenmiş sıfır bayt içeren dosyaları kurtarabilir. Kötü amaçlı yazılımın dosyayı ne sıklıkta ve ne ölçüde şifrelediğine bağlı olarak manuel inceleme gerekebilir.
Araştırmacılar, şifrelenmiş dosyada yer almayan sihirli bir bayt dizisinin, kötü amaçlı yazılımın dosyanın sonunda kaldığını söylüyor. Araç çalışmayı bitirdikten sonra dosya yalnızca sıfır bayta sahip olur. Böylece dosyanın şifresi başarıyla çözüldü.
Dosya boyutuna bağlı olarak ilk 5000 bayt anahtar akışı tarafından doğru şekilde kullanılır. Aksi takdirde, ilk 64 bayt dışındaki bu baytlar kaybolacaktır.
Araştırmacılar şöyle diyor: “Ancak sanallaştırılmış disk görüntülerinin kurtarılma şansı yüksek çünkü gerçek bölümler ve dosya sistemleri daha geç başlama eğiliminde.
Yani fidye yazılımı MBR veya GPT bölüm tablosunu yok etti, ancak “testdisk” gibi araçlar genellikle bunları kurtarabilir veya yeniden oluşturabilir.”