捷克网络安全公司 avast 推出了一款解密工具,旨在帮助 babuk 勒索软件的受害者免费恢复文件。
Avast Threat Labs 表示,Babuk 解密工具是利用泄露的源代码和解密密钥开发的,仅限于文件扩展名为 .babuk、.babyk、.doydo 的 Babuk 受害者免费使用。Babuk 勒索软件的受害者可以通过从 Avast 的服务器上下载解密工具,并按照用户界面上的指示一次性解密整个分区。测试表明,该解密工具可能仅对部分因 Babuk 源代码泄露而受影响的受害者有效。
泄露的源代码和解密密钥来自自称是 Babuk 组织成员的人士,该人士因晚期癌症而决定泄露源代码。泄露的共享文件包含不同版本的 Visual Studio Babuk 勒索软件项目,适用于 VMware ESXi、NAS 和 Windows 加密器,其中 Windows 文件夹内含 Windows 加密器和解密器的完整源代码,以及类似于私钥和公钥生成器的内容。文件中还包括勒索软件团伙为特定受害者编写的加密和解密程序。
△ Babuk Windows 加密器源代码
在泄露事件之后,Emsisoft 的首席技术官兼勒索软件专家 Fabian Wosar 确认该源代码是真实的,并且文档中可能还包含过去受害者的解密密钥。
Babuk 的动荡历史
Babuk Locker,或称 Babyk 和 Babuk,是一种勒索软件行动,2021 年初开始对企业数据进行窃取和加密的双重勒索攻击。在攻击华盛顿特区的大都会警察局(MPD)后,该组织受到美国执法部门的关注,迫于压力,Babuk 停止了行动。
由于该组织的“管理员”试图将从 MPD 窃取的数据泄露到网站上进行公开,其他成员对此表示反对。随后,Babuk 成员分裂成两派,原“管理员”另起炉灶成立了 Ramp 网络犯罪网站,其余成员则以 Babuk V2 的名义重新启动了勒索软件,从那时起继续瞄准和加密企业数据实施勒索攻击。
Ramp 网络犯罪网站刚成立不久就遭受了一系列 DDoS 攻击,导致无法使用。“管理员”认为攻击的幕后黑手是他的前合作伙伴,但 Babuk V2 对此表示否认。
参考来源
