Babuk勒索病毒解密密钥公开可用

重要摘要

Babuk勒索病毒的解密密钥因其创造者被捕而公开。 Babuk Tortilla是原始Babuk勒索病毒的新版本，利用ProxyShell漏洞攻击微软Exchange伺服器。 Talos团队与荷兰警方合作，成功逮捕了Babuk Tortilla的威胁行为者。 解密工具可供受害者从Avast和NoMoreRansom网站自由下载。 Babuk的源代码自2021年以来已泄露，可能会在未来引发更多的攻击。

Babuk勒索病毒变种的解密密钥于其创造者被捕后开始向公众开放。Babuk Tortilla是自2021年9月原始Babuk源代码泄露后出现的版本，该版本利用ProxyShell漏洞，针对微软Exchange伺服器进行攻击。Cisco Talos的研究人员于2021年10月12日发现了该攻击活动。

Talos与荷兰警察及检察官合作进行刑事调查，最终确定并逮捕了Babuk Tortilla背后的威胁行为者，Cisco的威胁情报团队于周二在一篇博客文章中揭露了此消息。此过程中，警方回收并提供了威胁行为者用于解码Tortilla版本加密文件的可执行代码。

“他们认为我们的技术专业能力能保证我们成功分析并发布以便受害者安全使用的解密代码，”Cisco Talos的研究人员Vanja Svajcer告诉SC媒体。

Talos团队从此代码中提取了私钥，并将其与Avast Threat Labs分享，Avast将这个解密密钥整合进了其通用的Babuk解密工具中。

该解密工具可以供多个Babuk勒索病毒变体的受害者从Avast网站或NoMoreRansom专案免费下载，帮助他们恢复文件。

Babuk Tortilla对所有受害者使用相同的公钥/私钥对

这一新的勒索病毒解密工具特别有用，因为Babuk Tortilla的所有受害者都可以通用。这是因为威胁行为者在整个攻击活动中并未为每一位受害者生成新的公私钥对，而是始终使用同一组键。

Avast在一篇博客文章中指出，早前从源代码泄露者分享的ZIP文件中恢复了14个Babuk解密密钥，这些密钥与新的Tortilla密钥一起包含在Avast的通用Babuk勒索病毒解密工具中。

Avast 威胁研究小组表示：“在简要检查所提供的样本原始命名为tortillaexe后，我们发现自两年前分析Babuk样本以来，这一加密架构并未改变。因此，扩展解密器的过程非常简单。”

Talos团队表示，从原始可执行文件中提取解密密钥对于将其纳入Avast的全合一解决方案非常重要，并避免通过威胁行为者散布不受信任的代码。

此外，与Avast工具相比，Tortilla的原始解密过程相对较慢且效率低下，研究人员指出。

勒索病毒攻击针对ProxyShell、SolarWinds、Atlassian漏洞

Babuk勒索病毒因为在华盛顿地区警察局数据泄漏事件中被广为人知，此外还对医疗、制造业和其他关键基础设施领域发起了针对性攻击。

xfh5旋风加速官网

在源代码泄露后，出