Novo decryptor do Black Basta explora falha de ransomware para recuperar ficheiros

Os investigadores da Security Research Labs (SRLabs) lançaram um novo decryptor – o Black Basta Buster – que explora uma falha no ransomware Black Basta, permitindo que os indivíduos visados desde novembro de 2022 até dezembro do ano passado recuperem os seus ficheiros gratuitamente.

A equipa da SRLabs encontrou uma fraqueza no algoritmo de criptografia utilizado pelos encryptors do grupo de ransomware Black Basta que permitiu a descoberta do keystream ChaCha usado para criptografar um arquivo XOR.

O Black Basta Buster consiste numa coleção de scripts python que auxiliam na descriptografia de arquivos em diferentes cenários. A equipa de investigação criou um script designado ‘decryptauto.py’ que procura realizar a recuperação automática da chave e utilizá-la para descriptografar o ficheiro.

“A nossa análise sugere que os ficheiros podem ser recuperados se o texto simples de 64 bytes criptografados for conhecido. Se um ficheiro é total ou parcialmente recuperável depende do tamanho do arquivo”, explica o artigo da SRLabs. “Ficheiros com tamanho inferior a 5.000 bytes não podem ser recuperados. Para ficheiros entre 5.000 bytes e 1 GB, a recuperação total é possível. Para ficheiros maiores que 1 GB, os primeiros 5.000 bytes serão perdidos, mas o restante poderá ser recuperado”.

Quando o Black Basta criptografa um arquivo, ele faz um XOR do conteúdo através de um keystream de 64 bytes criado com o algoritmo XChaCha20. Ao utilizar uma cifra de fluxo para criptografar um arquivo cujos bytes contêm apenas zeros, a própria chave XOR é gravada no ficheiro, permitindo assim a recuperação da chave de criptografia.

O decryptor não permite recuperar ficheiros de menor dimensão. No entanto, os ficheiros maiores, como discos de máquinas virtuais, podem ser geralmente descriptografados, uma vez que um grande número de secções de ‘zero byte’.

“No entanto, as imagens de disco virtualizadas têm uma grande chance de serem recuperadas, porque as partições reais e os seus sistemas de ficheiros tendem a iniciar mais tarde”, explica a SRLabs. “Portanto, o ransomware destruiu a tabela de partição MBR ou GPT, mas ferramentas como o “testdisk” muitas vezes podem recuperá-las ou gerá-las novamente”.

No que diz respeito aos ficheiros que não incluem grandes blocos de dados de zero bytes, os investigadores adiantam que ainda pode ser possível recuperar os ficheiros perdidos se os indivíduos visados tiverem uma versão mais antiga não criptografada com dados semelhantes.

Sublinha-se que o novo decryptor funciona apenas nas versões Black Basta desde novembro de 2022 até dezembro do ano passado. Ainda mais, as versões anteriores que acrescentavam a extensão .basta a ficheiros criptografados, em vez de uma extensão de ficheiro aleatória, não podem ser descriptografadas através desta ferramenta.

De acordo com o BleepingComputer, os developers do Black Basta corrigiram o bug há cerca de uma semana, de modo a evitar que esta técnica de descriptografia fosse utilizada em ataques mais recentes