Túljártak a hackerek eszén, visszaszerezheted az adataidat fizetés nélkül
A SRLabs kutatói elérhetővé tettek egy dekódoló eszközt a Black Basta zsarolóvírus ellen, ami lehetővé teszi az áldozatok számára a fájlok fizetés nélküli visszafejtését. A dekódoló azoknál az áldozatoknál működik, akiknek a fájljait 2022 novemberétől 2023 decemberéig terjedő időszakban titkosították a zsarolóvírussal.
A Black Basta Buster névre keresztelt dekódoló a vírus egy régebbi verziójában használt titkosítási algoritmus hibáját használja ki. A hibát a harckerek 2023 decemberében javították, valószínűleg a felfedezés hatására, így a legújabb támadások esetében a dekódoló már nem működik.
A 2022 novemberétől 2023 decemberéig terjedő időszakban a vírus 153 ismert támadásért felelt (ezek olyan támadások, ahol az áldozat nem fizetett váltságdíjat, és az így kiszivárgott adatok megjelentek a Black Basta sötét webes oldalán). A hiba természete miatt a dekódolónak van azonban néhány technikai korlátja. A Black Basta Buster Github oldalán a SRLabs ezt a következőképpen magyarázza:
„Az 5000 bájtnál kisebb méretű fájlok nem állíthatók helyre. Az 5000 bájttól 1GB méretű fájlok esetében teljes helyreállítás lehetséges. Az 1GB-nál nagyobb fájlok esetében az első 5000 bájt elveszik, de a többi helyreállítható.”
Hogyan állíthatók helyre a fájlok?
A dekódoló egyszerre csak egy fájlon használható, és a virtuális gépek lemezeinek helyreállítására van a legnagyobb esély. A SRLabs szerint a virtualizált lemezképeknek „jó esélyük van a helyreállításra, mert a tényleges partíciók és fájlrendszereik később kezdődnek. Így a zsarolóvírus tönkretette az MBR-t (mesterindító rekord) vagy a GPT partíciós táblát, de az olyan eszközök, mint a ‘testdisk’, gyakran képesek ezeket helyreállítani vagy újragenerálni.”
A Github oldalakon több python szkript is rendelkezésre áll a titkosított fájlok helyreállításához, és az érdeklődők megtalálhatják azok használati utasításait egy readme fájlban. A folyamat nem egyszerű, és biztosan nem javasolható minden titkosított fájl esetében, ezért minden áldozatnak mérlegelnie kell, mennyire éri meg a számukra.
Természetesen a zsarolóvírusok általi rosszindulatú titkosítást lehetőség szerint jobb elkerülni. Ehhez adunk néhány tippet.
Hogyan kerülheted el a zsarolóvírust
- Blokkold a gyakori belépési formákat. Készíts tervet az internetre csatlakozó rendszerek sebezhetőségeinek gyors javítására, és tiltsd le vagy erősítsd meg a távoli hozzáférést, például az RDP-t és a VPN-eket.
- Akadályozd meg a behatolásokat. Állítsd meg a fenyegetéseket még azelőtt, hogy azok behatolnának a rendszerbe vagy megfertőznék a végpontjaidat. Használj olyan végpontbiztonsági szoftvert, amely megakadályozza a támadásokat és a zsarolóvírus szállítására használt kártékony szoftvereket.
- Észleld a behatolásokat. Nehezítsd meg a behatolók működését a vállalati rendszeren belül a hálózatok szegmentálásával és az hozzáférési jogok óvatos kiosztásával. Használj EDR-t (Endpoint Detection and Response – végponti észlelés és válasz) vagy MDR-t (Managed Detection and Response – kezelt észlelés és válasz) a szokatlan tevékenységek észlelésére még a támadás előtt.
- Állítsd meg a rosszindulatú titkosítást. Telepíts olyan végponti érzékelő és válaszadó szoftvert, mint a ThreatDown EDR, amely több különböző észlelési technikát használ a zsarolóvírus azonosítására, és zsarolóvírus-visszafejtést alkalmaz a károsodott rendszerfájlok helyreállítására.
- Készíts külső, offline biztonsági másolatokat. Tartsd a biztonsági másolatokat a telephelyeden kívül és offline, a támadók elérhetőségén kívül. Rendszeresen teszteld a másolatokat, hogy baj esetén gyorsan helyreállíthasd az alapvető üzleti funkciókat.
- Ne hagyd, hogy többször is megtámadjanak. Miután elszigetelted a behatolást és megállítottad az első támadást, el kell távolítanod a támadás összes nyomát, a támadók által használt szoftverekkel, eszközökkel és belépési módszerekkel együtt, hogy elkerüld az ismételt támadást.
A Black Basta 2022 áprilisában jelent meg először, és rendszeresen szerepel a legaktívabb zsarolóvírus csoportok top 5-ös listájában. A zsarolóvírust többek között olyan szervezetek elleni támadásokra használták, mint a kanadai Yellow Pages (Sárga Oldalak) és a német Rheinmetall fegyvergyártó.