Auch Hacker machen wohl Fehler: Laut einem Bericht auf GitHub haben die Experten von SRLabs eine Schwachstelle in der Ransomware von Black Basta entdeckt. Daraufhin konnten Sie ein Entschlüsselungstool bauen, was wohl in sehr vielen Fällen die Daten retten kann.
Die APT-Gruppe Black Basta hat mit seiner Ransomware sehr viel Schaden angerichtet. Viele der betroffenen Unternehmen haben sich zwar nicht auf die Erpressungen eingelassen, aber dafür oft einige Daten verloren. Nun gibt es für die Wiederherstellung einiger Daten wieder Hoffnung: die Experten von SRLabs eine Schwachstelle in der Ransomware von Black Basta entdeckt und eine Tool-Suite gebaut, welche bei der Entschlüsselung von Daten helfen soll, die von der Black-Basta-Gruppe verschlüsselt wurden. Die Suite gibt es kostenlos auf GitHub.
Black-Basta Daten entschlüsseln
Die untersuchte Ransomware mit dem Fehler wurde von Black Basta etwa um den April 2023 herum verwendet. Die Analyse durch die Experten brachte folgenden Ergebnisse:
- Die Analyse zeigt, dass Dateien wiederhergestellt werden können, wenn der Klartext von 64 verschlüsselten Bytes bekannt ist. Ob eine Datei vollständig oder teilweise wiederhergestellt werden kann, hängt von der Größe der Datei ab. Dateien unter einer Größe von 5000 Byte können nicht wiederhergestellt werden. Bei Dateien mit einer Größe zwischen 5000 Byte und 1 GB ist eine vollständige Wiederherstellung möglich. Bei Dateien, die größer als 1 GB sind, gehen die ersten 5000 Bytes verloren, der Rest kann jedoch wiederhergestellt werden.
- Die Wiederherstellung hängt von der Kenntnis des Klartextes von 64 verschlüsselten Bytes der Datei ab. Allerdings sind diese nicht beliebig. Die bekannten Klartextbytes müssen sich an einer Stelle der Datei befinden, die nach der Logik der Malware dort erwartet wird. Bei bestimmten Dateitypen ist es möglich, 64 Bytes des Klartextes an der richtigen Stelle zu wissen, insbesondere bei Disk-Images virtueller Maschinen.
SRLabs hat einige Tools entwickelt, die bei der Analyse verschlüsselter Dateien helfen und prüfen können, ob eine Entschlüsselung möglich ist. Zum Beispiel kann das Werkzeug decryptauto Dateien wiederherstellen, die verschlüsselte Null-Bytes enthalten. Je nachdem, wie oft und in welchem Umfang die Malware die Datei verschlüsselt hat ist eine manuelle Überprüfung erforderlich, um eine Datei vollständig wiederherzustellen. Alle Daten und Tools stellt SRLabs auf GitHib bereit. Dort finden sich auch weiter Hintergrundinformationen zur Entschlüsselung die definitiv nur Fachleuten zu empfehlen ist.
Mehr Entschlüsselungstools bei NoMoreRansom
Wer weitere Entschlüsselungstools sucht, wird auch bei der Webseite NoMoreRansom fündig. Die Website “No More Ransom” ist eine Initiative der National High Tech Crime Unit der niederländischen Polizei, Europols europäischem Cybercrime Center, Kaspersky und McAfee. Ziel ist es, Opfern von Ransomware bei der Entschlüsselung zu helfen, ohne dass das Lösegeld an die Cyberkriminellen bezahlt wird.
Mehr auf GitHub von SRLabs.de