思科 Talos 研究人员发布 Tortilla 勒索软件的解密密钥

所有的受害者现在都有机会恢复他们的数据，无需支付任何赎金。

思科 Talos与荷兰警方合作，成功解密了 Babuk 勒索软件的一个名为 Tortilla 的变种，在打击网络犯罪方面取得了重大进展。

这一成功的关键在于，警方捕获了在阿姆斯特丹的一名犯罪分子，并夺取了他提供给同意支付赎金的受害者的特定解密工具。

在 Babuk 勒索软件的源代码在黑客论坛上泄露后不久，“Tortilla”就出现了。该恶意软件变体主要针对 Microsoft Exchange 服务器，利用 ProxyShell 漏洞分发加密恶意软件。

尽管 Avast 在 Tortilla 发布前就已经推出了 Babuk 的解密工具，但由于密钥不匹配，这一工具对新的变种效果不佳。

Talos 的研究团队发现，这一病毒的可执行文件使用了固定的公钥/私钥对进行所有攻击。一旦这些密钥被提取，信息就会传递给 Avast 以更新他们的 Babuk 解密器。

Avast 已将“Tortilla”解密密钥包含在其通用解密工具 Babuk 中，其中还包含从 2021 年源代码泄露中获得的 14 个 ECDH-25519 密钥。Tortilla 受害者现在可以使用Avast 的解密器免费恢复数据 。

Cisco Talos 强调，Tortilla 并不是唯一使用 Babuk 代码加密受害者数据的操作。自 2021 年 12 月以来，还出现了其他 7 个使用该代码的恶意操作：Rook、Night Sky、Pandora、Nokoyawa Cheerscrypt、AstraLocker 2.0、ESCiArgs、Rorschach、RTM Locker 和 RA Group。

转自安全客，原文链接：https://www.anquanke.com/post/id/292557