據(jù)Security Affairs消息，獨立安全研究和咨詢團(tuán)隊 SRLabs 發(fā)現(xiàn)了Black Basta勒索軟件加密算法中存在的漏洞，并利用該漏洞成功創(chuàng)建了免費解密器。

SRLabs發(fā)現(xiàn)，Black Basta勒索軟件采用基于 ChaCha 密鑰流的加密算法，利用該算法對 64 字節(jié)長的文件塊執(zhí)行 XOR 操作，并確定加密塊的位置是由文件大小決定，根據(jù)文件大小，勒索軟件會加密前 5000 個字節(jié)。

研究人員進(jìn)而分析表明，如果已知 64 個加密字節(jié)的明文，則可以恢復(fù)文件。文件是否完全或部分可恢復(fù)取決于文件的大小。小于 5000 字節(jié)的文件無法恢復(fù)。對于大小在 5000 字節(jié)到 1GB 之間的文件，可以完全恢復(fù)。對于大于 1GB 的文件，前 5000 字節(jié)將丟失，但其余部分可以恢復(fù)。

但同時，研究人員強調(diào)，恢復(fù)取決于了解文件 64 個加密字節(jié)的明文。換句話說，知道 64 字節(jié)本身是不夠的，因為已知的明文字節(jié)需要位于文件的某個位置，該位置要根據(jù)惡意軟件確定要在文件的某部分邏輯進(jìn)行加密。對于某些文件類型，知道正確位置的 64 字節(jié)明文是可行的，尤其是虛擬機磁盤映像。

SRLabs 開發(fā)的工具使用戶能夠分析加密文件并確定是否可以解密。但稍顯遺憾的是，Black Basta 已經(jīng)解決了這個漏洞，解密器僅支持恢復(fù) 2023 年 12 月之前加密的文件。

Elliptic 和 Corvus Insurance 的聯(lián)合研究顯示，自 2022 年初以來，Black Basta已累計獲得了至少 1.07 億美元的比特幣贖金。專家稱，該勒索軟件團(tuán)伙已感染超過 329 家受害企業(yè)，其中包括 ABB、 Capita、 Dish Network和 Rheinmetal。