SRLabs’taki araştırmacılar, Black Basta fidye yazılımı için, grubun bazı kurbanlarının fidye ödemeden dosyaların şifresini çözmesine olanak tanıyan bir şifre çözme aracı hazırladı. Şifre çözücü, dosyaları Kasım 2022 ile Aralık 2023 arasında şifrelenen kurbanlar için çalışıyor.
Black Basta Buster adı verilen şifre çözücü, Black Basta grubunun fidye yazılımının eski sürümlerinde kullanılan şifreleme algoritmasındaki bir kusurdan yararlanıyor. Hata, muhtemelen keşfin bir sonucu olarak grup tarafından Aralık ortasında düzeltildi, bu nedenle en son saldırılarda çalışmayacak.
Şifre çözücünün çalıştığı süre boyunca çete, bilinen 153 saldırıdan (kurbanın fidye ödemediği ve Black Basta’nın karanlık web veri sızıntısı sitesinde ortaya çıktığı saldırılar) sorumluydu.
BlackBasta ilk olarak Nisan 2022’de ortaya çıktı ve aylık fidye yazılımı incelemelerimizde en aktif 5 fidye yazılımı grubu arasında düzenli olarak yer alıyor. Fidye yazılımı, diğerlerinin yanı sıra Kanada’nın Sarı Sayfaları ve Alman silah üreticisi Rheinmetall gibi kuruluşlara saldırmak için kullanıldı.
Şifre çözücü, yararlandığı kusurun doğası gereği birkaç kısıtlamayla birlikte gelir.
SRLabs, Black Basta Buster’ın Github sayfasında şunları açıklıyor:
“5000 baytın altındaki dosyalar kurtarılamaz. Boyutu 5000 byte ile 1GB arasındaki dosyalar için tam kurtarma mümkündür. 1 GB’tan büyük dosyalar için ilk 5000 bayt kaybolacak ancak geri kalanı kurtarılabilir.”
Peki dosyalarınızı nasıl kurtarırsınız?
Şifre çözücü aynı anda yalnızca bir dosya üzerinde çalışır ve en iyi şansınız sanal makine disklerindedir. SRLabs’a göre, sanallaştırılmış disk görüntülerinin “kurtarılma şansı yüksek çünkü gerçek bölümler ve dosya sistemleri daha geç başlama eğiliminde. Yani fidye yazılımı MBR veya GPT bölüm tablosunu yok etti, ancak “testdisk” gibi araçlar genellikle bunları kurtarabilir veya yeniden oluşturabilir.”
64 şifrelenmiş baytlık düz metin biliniyorsa dosyalar kurtarılabilir. Bunu belirlemenin en kolay yolu, dosyada bir dizi sıfır bulmaktır. Yeterince büyük sıfır bayt parçaları içermeyen büyük dosyaların şifresini çözmek mümkün olabilir, ancak hedef dosyanın şifrelenmemiş bir sürümüne ihtiyacınız olacaktır. Çoğu durumda bu, şifre çözme amacını ortadan kaldırır, ancak hedef dosyanın gereksinimleri karşılayan ancak şifresini çözmek istediğiniz bilgileri içermeyen önceki bir sürümüne sahip olduğunuz uç durumlar da olabilir.
Github sayfalarında şifrelenmiş dosyaların kurtarılmasında size yardımcı olacak çeşitli python komut dosyaları bulacaksınız. İlgilenen taraflar, bunları nasıl kullanacaklarına ilişkin talimatları benioku dosyasında bulabilirler. Bu kolay bir süreç değil ve kesinlikle her şifrelenmiş dosya için kullanmanızı önereceğimiz bir şey değil. Her kurbanın bunun kendileri için ne kadar faydalı olduğunu tartması gerekecek.
BleepingComputer, bazı dijital adli tıp şirketlerinin kusurun farkında olabileceğini ve FBI’ın bilgisayar ağlarına girdikten sonra Hive kurbanlarına şifre çözme anahtarları sunmasına benzer şekilde, aylardır önemli dosyaların kurtarılmasında müşterilere yardımcı olabileceğini bildiriyor. ALPHV mağdurları için de aynısını yapmış olabilirler ancak bu doğrulanmadı.
Açıkçası, eğer yapabiliyorsanız kötü amaçlı şifrelemeden kaçınmak daha iyidir; işte bazı ipuçları.
Fidye yazılımından nasıl kaçınılır
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya onları etkilemeden önce durdurun. Fidye yazılımı dağıtmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren ThreatDown EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.
İş çözümlerimiz fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.