Ransomware: Fehler in Black-Basta-Programmierung ermöglicht Entschlüsselungstool

Aufgrund eines Fehlers im Verschlüsselungstrojaner Black Basta konnten Sicherheitsforscher das Entschlüsselungstool Black Basta Buster entwickeln. Damit können Opfer ohne Lösegeld zahlen zu müssen wieder auf ihre Daten zugreifen. Das Tool funktioniert aber nur für bestimmte Versionen des Schädlings.

Auf den Fehler im Verschlüsselungsalgorithmus sind Sicherheitsforscher von Security Research Labs (SRLabs) gestoßen. Ihre Erkenntnisse führen sie auf Github aus; dort findet man auch das Tool. Doch die Entschlüsselung klappt nicht in allen Fällen.

Einschränkungen

Die Schwachstelle findet sich im ChaCha Keystream (64 Byte) für die XOR-Verschlüsselung, über die sich der Verschlüsselungsschlüssel einsehen ließ. Das Hauptproblem war eine Wiederverwendung des Keystreams.

Die Position der verschlüsselten Blöcke wird durch die Dateigröße bestimmt. Voraussetzung für eine erfolgreiche Entschlüsselung ist die Kenntnis von 64 Bytes im Klartext von einer bestimmten Stelle einer verschlüsselten Datei. Das ist ihnen zufolge bei bestimmten Dateitypen wie Disk-Images von virtuellen Maschinen möglich.

Aufgrund der Arbeitsweise der Malware funktioniert ihr Tool aber nicht mit Dateien, die kleiner als 5000 Bytes sind. Bei Dateien ab 5000 Bytes bis 1 Gigabyte sei der Chance auf eine vollständige Wiederherstellung groß. Bei größeren Dateien gehen die ersten 5000 Bytes verloren.

Entschlüsselungstool nutzen

Die Forscher geben an, dass Black Basta Buster bei der Ransomware-Version, die um April 2023 in Umlauf war, helfen kann. Das Tool scannt Festplatten und zeigt an, bei welchen betroffenen Daten eine Wiederherstellung möglich ist. Wer von Black Basta betroffen ist, sollte dem Tool eine Chance geben.

Mittlerweile sollen die Kriminellen hinter dem Schädling die Schwachstelle entdeckt und geschlossen haben. Mit der Malware haben die Drahtzieher hinter Black Basta bereits neunstellige Beträge erpresst.

(des)