„Black Basta Buster“ lässt Ransomware-Opfer aufatmen

Sicherheitsforscher haben zum Jahresende ein Entschlüsselungs-Tool entwickelt, mit der die Opfer der Malware zumindest einen Teil ihrer Daten wiederherstellen können, ohne Lösegeld zu zahlen.

Sicherheitsforscher des Security Research Labs (SRLabs) haben ein Entschlüsselungs-Tool mit dem Namen Black Basta Buster entwickelt, der zumindest einigen der Opfer der Malware hilft. Ein Programmfehler im Verschlüsselungsalgorithmus machte den sogenannten ChaCha-Keystream sichtbar, der zur XOR-Verschlüsselung der Dateien verwendet wird.

Um die Wiederherstellung zu starten, muss laut SRLabs der Klartext von 64 verschlüsselten Bytes bekannt sein. Ob es dann gelingt, eine Datei vollständig oder teilweise wiederherzustellen, hängt von ihrer Größe ab. Derzeit funktioniert diese Methode mit Dateien, die größer sind als 5.000 Bytes. Darunter ist eine Wiederherstellung nicht möglich. Bei Dateien mit einer Größe zwischen 5.000 Byte und einem Gigabyte hingegen ist eine vollständige Wiederherstellung möglich. Für Dateien über einem Gigabyte gilt: Die ersten 5.000 Bytes gehen verloren, der Rest der Datei bleibt erhalten.

Um den Opfern von Black Basta bei der Entschlüsselung ihrer Daten zu helfen, haben die Sicherheitsforscher nun eine Sammlung von Python-Skripten sowie ein Skript mit dem Namen „decryptauto.py“ veröffentlicht. Während erstere verschiedene Szenarien abbilden und Hilfestellung geben, versucht letzteres automatisch den Schlüssel abzurufen und ihn zur Entschlüsselung zu verwenden. Da immer nur eine Datei auf einmal entschlüsselt werden kann, sollte man für Ordner und größere Mengen ein Shell Skript nutzen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Entscheidendes Zeitfenster: November 2022 bis Mitte Dezember 2023

Doch nicht alle Opfer von Black Basta können auf diese Weise wieder Zugriff auf ihre Daten erlangen. Aktuell funktioniert der Black Basta Buster nur bei Versionen, die seit November 2022 bis Mitte Dezember 2023 aktiv waren. Ältere Versionen der Malware, die die Dateiendung „.basta“ an die verschlüsselten Daten anhängten, können aktuell nicht dechiffriert werden. Auch bei der neuesten Version von Black Basta scheint der Decryptor nicht mehr zu funktionieren, denn offenbar haben die Malware-Entwickler den Programmierfehler behoben, wie Bleeping Computer berichtet.

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Meetingbox Huus Meet Pro im Test

Schöner meeten

Digitale Gesundheitsdaten

Bundesweiter Start der E-Patientenakte rückt näher

KI-Tools für die Lehre

Baustein für bessere Bildung

Kundenbarometer Internet B2B 2025

Welcher Internetanbieter überzeugt?

Eintritt in Europas größten TK-Markt

Schwedische Vinnergi beteiligt sich an deutscher Vivax Net

Weitere Artikel zu Cybersecurity/Cybersicherheit

Cyan Guard 360

Cybersecurity für den Mittelstand

Advertorial

Channel Trends+Visions 2025 – IT-Zukunft hautnah erleben!

Security-Plattform in Deutschland

Arrow vertreibt SecureVisio-Lösung in Deutschland

World Cloud Security Day 2025

Bedeutung der Cloud-Sicherheit nicht unterschätzen

Ausbau von Expertise in Frankreich

Hornetsecurity übernimmt Altospam

Weitere Artikel zu Cyber-Security-Lösungen

Digitale Zukunft

Technologietrends als Ökosystem

Unterschätztes Geschäftsrisiko

Das deutsche Ransomware-Paradox

Fünf Schritte zur sicheren Vorbereitung

NIS2: Trotz Verzögerung müssen Unternehmen jetzt handeln

Cyberverteidigung

Threat Hunting: Proaktiv statt reaktiv

DeepSeek vs. ChatGPT

Das Duell der KI-Giganten und seine Folgen für die IT-Sicherheit