據(jù)Security Affairs消息，獨(dú)立安全研究和咨詢團(tuán)隊(duì) SRLabs 發(fā)現(xiàn)了Black Basta勒索軟件加密算法中存在的漏洞，并利用該漏洞成功創(chuàng)建了免費(fèi)解密器。

SRLabs發(fā)現(xiàn)，Black Basta勒索軟件采用基于 ChaCha 密鑰流的加密算法，利用該算法對(duì) 64 字節(jié)長(zhǎng)的文件塊執(zhí)行 XOR 操作，并確定加密塊的位置是由文件大小決定，根據(jù)文件大小，勒索軟件會(huì)加密前 5000 個(gè)字節(jié)。

研究人員進(jìn)而分析表明，如果已知 64 個(gè)加密字節(jié)的明文，則可以恢復(fù)文件。文件是否完全或部分可恢復(fù)取決于文件的大小。小于 5000 字節(jié)的文件無(wú)法恢復(fù)。對(duì)于大小在 5000 字節(jié)到 1GB 之間的文件，可以完全恢復(fù)。對(duì)于大于 1GB 的文件，前 5000 字節(jié)將丟失，但其余部分可以恢復(fù)。

但同時(shí)，研究人員強(qiáng)調(diào)，恢復(fù)取決于了解文件 64 個(gè)加密字節(jié)的明文。換句話說(shuō)，知道 64 字節(jié)本身是不夠的，因?yàn)橐阎拿魑淖止?jié)需要位于文件的某個(gè)位置，該位置要根據(jù)惡意軟件確定要在文件的某部分邏輯進(jìn)行加密。對(duì)于某些文件類型，知道正確位置的 64 字節(jié)明文是可行的，尤其是虛擬機(jī)磁盤映像。

SRLabs 開(kāi)發(fā)的工具使用戶能夠分析加密文件并確定是否可以解密。但稍顯遺憾的是，Black Basta 已經(jīng)解決了這個(gè)漏洞，解密器僅支持恢復(fù) 2023 年 12 月之前加密的文件。

Elliptic 和 Corvus Insurance 的聯(lián)合研究顯示，自 2022 年初以來(lái)，Black Basta已累計(jì)獲得了至少 1.07 億美元的比特幣贖金。專家稱，該勒索軟件團(tuán)伙已感染超過(guò) 329 家受害企業(yè)，其中包括 ABB、 Capita、 Dish Network和 Rheinmetal。