【安全资讯】研究人员发布BlackByte勒索软件解密器

引言

BlackByte是一种独特的勒索软件，使用原始密钥和高级加密标准 (AES) 来加密受害者的文件，这意味着拥有原始密钥的任何人都能够解密数据。10月15日，安全研究公司发布了BlackByte勒索软件的分析报告，并发布了针对该软件的免费解密器，受害者可以通过解密器免费恢复他们的文件。

简况

BlackByte具有类似于 RYUK 勒索软件的蠕虫功能。与 REvil 等其他勒索软件变体一样，该恶意软件不会攻击俄语或前苏联语言的系统。勒索软件仅使用一个对称密钥来加密文件。BlackByte赎金记录中链接的拍卖网站很奇怪，该网站声称已经窃取了受害者的数据，但勒索软件本身没有任何窃取功能。因此研究人员认为，这种说法很可能是为了给受害者压力从而被迫支付赎金。

研究人员分析的初始样本是一个 JScript 启动程序文件，混淆后的 Jscript 的主要功能是解码并启动主要负载。初始执行流程的概览图如下：

BlackByte勒索软件还具有蠕虫功能。当蠕虫函数被调用时，最初会休眠 10 秒，然后从活动目录中查询域中至少 1,000 个主机名。 下面是蠕虫程序和执行流程：

BlackByte勒索软件最初下载一个伪造成图像文件的“forest.png”文件，其中包含用于加密文件的密钥。如果勒索软件无法下载密钥，它就会报错并不会对受感染系统的文件加密。PNG 文件的前 40 个字节是稍后用于勒索软件文件加密的密钥，用于解密密钥的 TripleDES 密钥位于 PNG 文件的最后 32 个字节中。加密程序的流程如下图：

研究人员认为，与在每个会话中可能具有唯一密钥的其他勒索软件不同，BlackByte使用相同的原始密钥和高级加密标准 (AES) 来加密文件。因此只需要从主机下载原始密钥就可以解密文件。只要软件下载的 .PNG 文件保持不变，研究人员就可以使用相同的密钥来解密加密文件。因此，研究人员编写了一个文件解密器。

总结

对于发布的免费解密器，BlackByte勒索软件团伙回应称，他们使用了多个密钥，如果受害者使用带有错误密钥的解密器，受害者的文件将被损坏。10月19日，安全公司表示，如果攻击者确实使用了多种不同的密钥，解密器将无法恢复受害者的数据，但也不会对用户的数据造成损坏，并且研究人员坚持认为大多数受害者可以通过“forest.png”中的密钥解密受攻击的文件。因此，研究人员建议受害者使用解密器尝试恢复文件。

可在此链接中找到文件解密器及密钥：https://github[.]com/SpiderLabs/BlackByteDecryptor