Un décrypteur pour la variante Tortilla du ransomware Babuk a été libéré par Cisco Talos, permettant aux victimes ciblées par le malware de retrouver l’accès à leurs fichiers.
La société de cybersécurité a déclaré que les renseignements sur les menaces qu’elle avait partagés avec les autorités néerlandaises chargées de l’application des lois avaient permis d’arrêter l’acteur menaçant à l’origine des opérations.
La clé de chiffrement a également été partagée avec Avast, qui avait auparavant a publié un décrypteur pour le ransomware Babuk après la fuite de son code source en septembre 2021. Le décrypteur mis à jour est accessible ici [EXE file].
« Une seule clé privée est utilisée pour toutes les victimes de la menace Tortilla », Avast noté. « Cela rend la mise à jour du décrypteur particulièrement utile, car toutes les victimes de la campagne peuvent l’utiliser pour décrypter leurs fichiers. »
La campagne Tortilla a été divulgué pour la première fois par Talos en novembre 2021, les attaques exploitant les failles ProxyShell des serveurs Microsoft Exchange pour supprimer le ransomware dans les environnements victimes.
Tortilla est l’une des nombreuses variantes de ransomware qui ont basé leur logiciel malveillant de cryptage de fichiers sur le code source de Babuk divulgué. Cela inclut Rook, Night Sky, Pandora, Nokoyawa, Cheerscrypt, AstraLocker 2.0, ESXiArgs, Rorschach, RTM Locker et RA Group.
Ce développement intervient alors que la société allemande de cybersécurité Security Research Labs (SRLabs) a publié un décrypteur pour le ransomware Black Basta appelé Black Basta Buster en profitant d’une faiblesse cryptographique pour récupérer un fichier partiellement ou entièrement.
« Les fichiers peuvent être récupérés si le texte en clair de 64 octets cryptés est connu », SRLabs dit. « Le fait qu’un fichier soit entièrement ou partiellement récupérable dépend de sa taille. »
« Les fichiers d’une taille inférieure à 5 000 octets ne peuvent pas être récupérés. Pour les fichiers d’une taille comprise entre 5 000 octets et 1 Go, une récupération complète est possible. Pour les fichiers de plus de 1 Go, les 5 000 premiers octets seront perdus mais le reste pourra être récupéré. »
Ordinateur qui bipe signalé À la fin du mois dernier, les développeurs de Black Basta ont depuis résolu le problème, empêchant l’outil de fonctionner avec des infections plus récentes.