Babuk勒索病毒解密密钥公开可用

重要摘要

Babuk勒索病毒变种的解密密钥于其创造者被捕后开始向公众开放。BabukTortilla是自2021年9月原始Babuk源代码泄露后出现的版本，该版本利用ProxyShell漏洞，针对微软Exchange伺服器进行攻击。CiscoTalos的研究人员于2021年10月12日发现了该攻击活动。

Talos与荷兰警察及检察官合作进行刑事调查，最终确定并逮捕了BabukTortilla背后的威胁行为者，Cisco的威胁情报团队于周二在一篇博客文章中揭露了此消息。此过程中，警方回收并提供了威胁行为者用于解码Tortilla版本加密文件的可执行代码。

“他们认为我们的技术专业能力能保证我们成功分析并发布以便受害者安全使用的解密代码，”Cisco Talos的研究人员Vanja
Svajcer告诉SC媒体。

Talos团队从此代码中提取了私钥，并将其与Avast Threat Labs分享，Avast将这个解密密钥整合进了其通用的Babuk解密工具中。

该解密工具可以供多个Babuk勒索病毒变体的受害者从或免费下载，帮助他们恢复文件。

这一新的勒索病毒解密工具特别有用，因为BabukTortilla的所有受害者都可以通用。这是因为威胁行为者在整个攻击活动中并未为每一位受害者生成新的公私钥对，而是始终使用同一组键。

Avast在一篇博客文章中指出，早前从源代码泄露者分享的ZIP文件中恢复了14个Babuk解密密钥，这些密钥与新的Tortilla密钥一起包含在Avast的通用Babuk勒索病毒解密工具中。

Avast威胁研究小组表示：“在简要检查所提供的样本（原始命名为tortilla.exe）后，我们发现自两年前分析Babuk样本以来，这一加密架构并未改变。因此，扩展解密器的过程非常简单。”

Talos团队表示，从原始可执行文件中提取解密密钥对于将其纳入Avast的全合一解决方案非常重要，并避免通过威胁行为者散布不受信任的代码。

此外，与Avast工具相比，Tortilla的原始解密过程相对较慢且效率低下，研究人员指出。

Babuk勒索病毒因为在中被广为人知，此外还对医疗、制造业和其他关键基础设施领域发起了针对性攻击。

在源代码泄露后，出