Babuk Tortilla 勒索软件受害者可以使用新的解密密钥

Cisco Talos 已确认，已为 Babuk Tortilla 勒索软件变体的受害者创建了一个新的解密器密钥。

这些密钥将添加到之前由 Avast Threat Labs 创建的通用 Babuk 解密器中。这将使用户能够下载包含所有当前已知的 Babuk 密钥的单个解密器。

针对 Babuk 勒索软件变体

Babuk 勒索软件于 2021 年首次崭露头角，是针对制造业和执法部门等行业的多次备受瞩目的攻击的幕后黑手。

勒索软件非常复杂，针对多个硬件和软件平台进行编译，其中 Windows 和 ARM for Linux 是最常用的版本。

在加密受害者机器的同时，Babuk 还能够中断系统备份过程并删除卷影副本，从而使恢复更加困难。

Babuk 的源代码于 2021 年 9 月在一个地下论坛上泄露，使多个威胁行为者能够开发该菌株的变体。

思科列出了利用 Babuk 的勒索软件系列：

• Rook – 2021 年 12 月
• 夜空 – 2022 年 1 月
• 潘多拉 – 2022 年 3 月
• Nokoyawa Cheerscrypt – 2022 年 5 月
• AstraLocker 2.0 – 2022 年 6 月
• ESXiArgs – 2023 年 2 月
• 罗夏 RTM 储物柜 RA 集团 – 2023 年 4 月

这包括一个名为 Tortilla 的威胁行为者。思科 Talos 于 2021 年 10 月首次观察到 Tortilla 以易受攻击的 Microsoft Exchange 服务器为目标，并试图利用 ProxyShell 漏洞在受害者环境中部署 Babuk 勒索软件。

在随后的执法调查中，荷兰警方利用思科 Talos 的情报，发现并逮捕了 Tortilla 恶意软件背后的行为者。

在此操作中，Talos 获得了 Tortilla 使用的解密器，并与 Avast Threat Labs 共享了恢复的解密密钥。

Avast 已经为其他几个 Babuk 变体开发了一个通用解密器。

Talos 认为这个解密器是由泄露的 Babuk 源代码和生成器创建的。虽然攻击者可以在每个活动中生成不同的公钥/私钥对，但 Tortilla 演员使用单个密钥对来攻击所有受害者。

该公司表示，它决定从解密器中提取私钥，并将其添加到Avast Babuk解密器支持的密钥列表中，而不是共享Tortilla创建的任何可执行代码。这是因为它可能会将生产环境暴露给不受信任的代码。

受害者如何恢复加密文件

Tortilla 勒索软件攻击的受害者现在可以从 NoMoreRansom 解密器页面或 Avast 解密器下载页面下载 Babuk 解密器的更新版本。

该解密器旨在使用户能够非常快速轻松地恢复他们的文件。

Talos 在 2024 年 1 月 9 日的一篇博客中写道：“其简单的用户界面使即使是在勒索软件恢复方面经验最少的用户也能轻松理解其用途和目的。

最近发布了许多解密器，以帮助多产勒索软件团伙的受害者。

这包括安全研究实验室发布的工具，用于恢复被 Black Basta 勒索软件加密的文件，而联邦调查局于 2023 年 12 月宣布，在采取执法行动后，它已经为臭名昭著的 BlackCat 组织开发了一种解密工具。