Die Sicherheitsforscher des renommierten Security Research Labs (SRLabs) haben zum Jahresende eine wegweisende Entschlüsselungssoftware namens Black Basta Buster entwickelt, um den Opfern der Ransomware Black Basta zu helfen. Mit dieser Software können die Betroffenen zumindest einen Teil ihrer wertvollen Daten wiederherstellen, ohne den geforderten Lösegeldforderungen nachzukommen. Dieser Erfolg ist ein bedeutender Schritt im Kampf gegen Ransomware.
Neue Methode ermöglicht teilweise Wiederherstellung von Black Basta Daten
Die Forscher von SRLabs haben einen Fehler im Verschlüsselungsalgorithmus von Black Basta entdeckt und erfolgreich ausgenutzt. Dadurch wurde der ChaCha-Keystream, der für die XOR-Verschlüsselung der Dateien verwendet wird, sichtbar gemacht. Um die Daten wiederherstellen zu können, ist es erforderlich, den Klartext von 64 verschlüsselten Bytes zu kennen. Die Größe der Dateien spielt dabei eine wichtige Rolle.
Um die Methode des Black Basta Busters zur Wiederherstellung zu nutzen, müssen die Dateien eine Größe von mehr als 5000 Bytes haben. Leider können kleinere Dateien nicht wiederhergestellt werden. Bei Dateien zwischen 5000 Bytes und 1 Gigabyte besteht jedoch die Chance einer vollständigen Wiederherstellung. Dateien über 1 Gigabyte verlieren nur die ersten 5000 Bytes, während der Rest der Datei intakt bleibt.
Um den Opfern von Black Basta zu helfen, haben die Sicherheitsforscher von SRLabs eine umfangreiche Sammlung von Python-Skripten entwickelt. Diese Skripte bieten verschiedene Szenarien und Hilfestellungen für die Entschlüsselung der Daten. Zusätzlich kann das Skript „decryptauto.py“ verwendet werden, um den Schlüssel automatisch abzurufen und die Dateien zu entschlüsseln. Es ist jedoch wichtig zu beachten, dass nur eine Datei gleichzeitig entschlüsselt werden kann. Bei der Entschlüsselung von Ordnern und größeren Datenmengen wird empfohlen, ein Shell-Skript zu verwenden.
Es ist bedauerlich, dass nicht alle Opfer von Black Basta ihre Daten mithilfe des Black Basta Busters wiederherstellen können. Die Software ist nur mit Versionen kompatibel, die zwischen November 2022 und Mitte Dezember 2023 aktiv waren. Ältere Versionen mit der Dateiendung „.basta“ können derzeit nicht entschlüsselt werden. Darüber hinaus scheint der Decryptor auch bei der neuesten Version von Black Basta nicht mehr zu funktionieren, da die Malware-Entwickler den Programmierfehler behoben haben.
Dank des Black Basta Busters haben die Opfer von Black Basta die Möglichkeit, ihre wertvollen Daten wiederherzustellen. Obwohl es Einschränkungen gibt, wie die Nicht-Funktionalität bei älteren Versionen der Malware oder der neuesten Version, ist der Buster ein bedeutender Erfolg im Kampf gegen Ransomware. Dies verdeutlicht das anhaltende Katz-und-Maus-Spiel zwischen Sicherheitsforschern und Cyberkriminellen und betont die Notwendigkeit, stets vorsichtig zu sein, um Angriffe zu verhindern.
Der Black Basta Buster stellt den Opfern von Black Basta eine effektive Lösung zur Wiederherstellung ihrer wertvollen Daten zur Verfügung. Es ist jedoch entscheidend zu beachten, dass der Kampf gegen Ransomware noch nicht vorbei ist. Nutzer sollten daher stets aufmerksam bleiben und die neuesten Sicherheitsmaßnahmen ergreifen, um sich vor solchen Angriffen zu schützen. Nur durch diese proaktive Herangehensweise kann das andauernde Katz-und-Maus-Spiel zwischen Sicherheitsforschern und Cyberkriminellen erfolgreich bekämpft werden.
