Ein Decryptor für die Tortilla-Variante der Babuk-Ransomware wurde von Cisco Talos veröffentlicht. Dadurch können Opfer, die von der Malware angegriffen wurden, wieder Zugriff auf ihre Dateien erhalten. Die Bedrohungsdaten, die das Cybersicherheitsunternehmen mit den niederländischen Strafverfolgungsbehörden geteilt hat, ermöglichten es, den Bedrohungsakteur hinter den Operationen festzunehmen. Der Verschlüsselungsschlüssel wurde auch mit Avast geteilt, das bereits im September 2021 einen Decryptor für die Babuk-Ransomware veröffentlicht hatte, nachdem der Quellcode geleakt wurde. Die aktualisierte Version des Decryptors kann hier heruntergeladen werden [EXE-Datei].
„Ein einzelner privater Schlüssel wird für alle Opfer des Tortilla-Bedrohungsakteurs verwendet“, so Avast. „Dies macht das Update des Decryptors besonders nützlich, da alle Opfer der Kampagne ihn verwenden können, um ihre Dateien zu entschlüsseln.“ Die Tortilla-Kampagne wurde erstmals im November 2021 von Talos bekannt gegeben, wobei die Angriffe die ProxyShell-Schwachstellen in Microsoft Exchange-Servern ausnutzten, um die Ransomware in den Umgebungen der Opfer abzulegen.
Tortilla ist eine von vielen Ransomware-Varianten, die ihre Dateiverschlüsselungs-Malware auf dem geleakten Babuk-Quellcode basieren. Dazu gehören Rook, Night Sky, Pandora, Nokoyawa, Cheerscrypt, AstraLocker 2.0, ESXiArgs, Rorschach, RTM Locker und RA Group.
Gleichzeitig hat die deutsche Cybersicherheitsfirma Security Research Labs (SRLabs) einen Decryptor für die Black Basta-Ransomware veröffentlicht, genannt Black Basta Buster, indem sie eine kryptografische Schwachstelle ausnutzt, um eine Datei teilweise oder vollständig wiederherzustellen.
„Dateien können wiederhergestellt werden, wenn der Klartext von 64 verschlüsselten Bytes bekannt ist“, so SRLabs. „Ob eine Datei vollständig oder teilweise wiederhergestellt werden kann, hängt von der Größe der Datei ab.“ „Dateien, die kleiner als 5000 Bytes sind, können nicht wiederhergestellt werden. Bei Dateien zwischen 5000 Bytes und 1 GB ist eine vollständige Wiederherstellung möglich. Bei Dateien, die größer als 1 GB sind, gehen die ersten 5000 Bytes verloren, aber der Rest kann wiederhergestellt werden.“
Bleeping Computer berichtete letzten Monat, dass die Entwickler von Black Basta das Problem behoben haben, wodurch das Tool mit neueren Infektionen nicht mehr funktioniert.