Bakizott a Black Basta zsarolóvírus

​Biztonsági kutatóknak jelentős eredményeket sikerült elérniük a Black Basta zsarolóvírus elleni küzdelemben.
 

A Black Basta nevű zsarolóvírus 2022 augusztusában jelent meg, és meglehetősen hamar egy nagyon komoly fegyverévé vált a mögötte meghúzódó kiberbandának. Ez a csoport nem kizárólag fájlok tiktosításához használta fel a szerzeményét, hanem adatszivárogtatáshoz is. (Ehhez egyébként meglehetősen szorosra fűzte a kapcsolatait a QBot csoporttal is.) Az elmúlt időszakban olyan szervezetek kerültek fel az áldozatainak listájára, mint amilyen például a Capita, az American Dental Association, a Sobeys, a Knauf, a Yellow Pages Canada és a torontói városi könyvtár.

A zsarolóvírussal az SRLabs biztonsági kutatói az utóbbi időben nagyon sokat foglalkoztak, és úgy tűnik, hogy az erőfeszítéseik kifizetődtek. Sikerült feltárniuk ugyanis egy olyan hibát a zsarolóvírus kódjában, amelynek révén dekódolhatóvá váltak a károkozó által titkosított fájlok, legalábbis részben. 

Az SRLabs szerint az ellenszer hatékonysága nagymértékben függ a dekódolandó fájl méretétől. Az 5000 bájt alatti állományok sajnos nem menthetők meg az új módszerrel, de az 5000 bájt és 1 gigabájt közötti fájlmérettel rendelkező állományok teljes mértékben helyreállíthatók. Az egy gigabájtnál nagyobb fájlok pedig az első 5000 bájtjuk kivételével dekódolhatók. A kutatók úgy látják, hogy a Black Basta által kiemelten támadott virtuális lemezek esetében is jó hatásfokkal működik a kidolgozott módszer, igaz ez esetben az MBR vagy a GPT partíciós táblák sérülhetnek. 

Az SRLabs arra is felhívta a figyelmet, hogy a dekódoláshoz kihasznált szoftverhibát a zsarolóvírus készítői nemrégen kijavították, így a dekódoló megoldás sajnos az újabb támadások esetén már nem vethető be. Ennek ellenére a korábbi áldozatok számára nagy segítséget jelenthet az ingyenesen letölthető, Python alapú eszköz.