SRLabs发现,Black Basta勒索软件采用基于 ChaCha 密钥流的加密算法,利用该算法对 64 字节长的文件块执行 XOR 操作,并确定加密块的位置是由文件大小决定,根据文件大小,勒索软件会加密前 5000 个字节。
研究人员进而分析表明,如果已知 64 个加密字节的明文,则可以恢复文件。文件是否完全或部分可恢复取决于文件的大小。小于 5000 字节的文件无法恢复。对于大小在 5000 字节到 1GB 之间的文件,可以完全恢复。对于大于 1GB 的文件,前 5000 字节将丢失,但其余部分可以恢复。
但同时,研究人员强调,恢复取决于了解文件 64 个加密字节的明文。换句话说,知道 64 字节本身是不够的,因为已知的明文字节需要位于文件的某个位置,该位置要根据恶意软件确定要在文件的某部分逻辑进行加密。对于某些文件类型,知道正确位置的 64 字节明文是可行的,尤其是虚拟机磁盘映像。
SRLabs 开发的工具使用户能够分析加密文件并确定是否可以解密。但稍显遗憾的是,Black Basta 已经解决了这个漏洞,解密器仅支持恢复 2023 年 12 月之前加密的文件。
Elliptic 和 Corvus Insurance 的联合研究显示,自 2022 年初以来,Black Basta已累计获得了至少 1.07 亿美元的比特币赎金。专家称,该勒索软件团伙已感染超过 329 家受害企业,其中包括 ABB、 Capita、 Dish Network和 Rheinmetal。