Cisco Talos выпустила дешифратор для версии Babuk-вымогателя Tortilla, позволяющий жертвам, на которые нацелено вредоносное ПО, восстановить доступ к своим файлам.
Компания по кибербезопасности заявила, что разведданные об угрозах, которыми она поделилась с правоохранительными органами Нидерландов, позволили арестовать злоумышленника, стоящего за операциями.
Ключ шифрования также был передан Avast, которая ранее выпустила дешифратор для Babuk-вымогателей после утечки его исходного кода в сентябре 2021 года. Обновленный дешифратор доступен здесь [EXE-файл].
"Единый закрытый ключ используется для всех жертв Tortilla threat actor", - отметил Avast. "Это делает обновление дешифратора особенно полезным, поскольку все жертвы кампании могут использовать его для расшифровки своих файлов".
Кампания Tortilla была впервые раскрыта компанией Talos в ноябре 2021 года, когда атаки использовали недостатки ProxyShell в серверах Microsoft Exchange для распространения вымогателей в среде жертв.
Tortilla - одна из многих разновидностей программ-вымогателей, которые основали свою вредоносную программу для шифрования файлов на утечке исходного кода Babuk. К нему относятся Rook, Night Sky, Pandora, Nokoyawa, Cheerscrypt, AstraLocker 2.0, ESXiArgs, Rorschach, RTM Locker и RA Group.
Разработка началась после того, как немецкая фирма по кибербезопасности Security Research Labs (SRLabs) выпустила дешифратор для Black Basta ransomware под названием Black Basta Buster, использующий криптографическую уязвимость для частичного или полного восстановления файла.
"Файлы могут быть восстановлены, если известен открытый текст из 64 зашифрованных байт", - сказал SRLabs. "Возможность полного или частичного восстановления файла зависит от размера файла".
"Файлы размером менее 5000 байт восстановлению не подлежат. Для файлов размером от 5000 байт до 1 ГБ возможно полное восстановление. Для файлов размером более 1 ГБ первые 5000 байт будут потеряны, но оставшуюся часть можно восстановить."
Bleeping Computer сообщил в конце прошлого месяца, что разработчики Black Basta с тех пор исправили проблему, не позволяя инструменту работать с новыми инфекциями.
