A Trustwave, uma empresa americana especializada em segurança digital, lançou no GitHub uma ferramenta gratuita capaz de descriptografar (e, assim, destravar) arquivos atacados pelo ransomware BlackByte. A funcionalidade pode significar um alívio para as vítimas que, conseguindo restaurar seus documentos, não precisarão pagar o resgate exigido pelos cibercriminosos.

Os pesquisadores notaram que o BlackByte possui uma falha em seu código. O ransomware usa apenas uma chave de criptografia em seus ataques, ao contrário de outros malwares que podem ter uma chave individual para cada arquivo criptografado.

publicidade

Essa chave “bruta” de criptografia usa um algoritmo de chave simétrica Advanced Encryption Standard (AES) para criptografar os arquivos. Um esquema de encriptação simétrica se baseia em uma única chave compartilhada entre dois ou mais usuários, usada para criptografar e descriptografar o chamado plaintext — o texto simples, que representa a mensagem ou parte dos dados que estão sendo codificados.

Os hackers hospedaram a chave de criptografia em um servidor HTTP remoto e em um arquivo oculto com extensão .PNG. A ferramenta criada pelos pesquisadores automatiza o processo de leitura dessa chave contida no arquivo .PNG. Em seguida, computa a chave de descriptografia necessária para que a vítima consiga recuperar e restaurar seus arquivos.

Fluxograma ilustrando o funcionamento do ransomware
Rotina de criptografia do BlackByte (Imagem: Reprodução/Trustwave)

Ransomware exclui até a lixeira do Windows

A análise revelou que o BlackByte evita infectar sistemas com os idiomas russo e da ex-URSS, que possuem recursos semelhantes aos de um worm e que travam se o download da chave de criptografia falhar. Após invadir o computador, o ransomware garante que o sistema não irá hibernar durante a criptografia dos dados.

Em seguida, o ransomware remove aplicativos específicos que podem impedir sua ação nociva. O BlackByte também mata processos que podem interferir na operação e, se encontrar o utilitário anti-ransomware Raccine, ele o desinstala do sistema.

Todas as cópias de sombra e pontos de restauração do Windows são excluídas pelo ransomware, que também exclui a lixeira, desativa o acesso controlado à pasta, libera o compartilhamento de arquivos, impressoras e rede. Além disso, de acordo com a Trustwave, o BlackByte ativa o protocolo SMB1 e concede acesso total às unidades de destino para qualquer pessoa.

A nota de resgate que é deixada pelo ransomware sugere que os invasores também roubaram dados da vítima, mas os pesquisadores afirmam que o BlackByte não possui nenhuma funcionalidade de exfiltração. Segundo a Trustwave, essa alegação é uma chantagem, e provavelmente foi projetada para assustar as vítimas e fazê-las pagar o resgate.

Que bonzinhos…

Os cibercriminosos responsáveis pelo BlackByte responderam ao lançamento da ferramenta de descriptografia da Trustwave e publicaram uma mensagem em seu site, alertando as vítimas para não usá-la.

No post, eles afirmam terem visto em alguns lugares que “há uma descriptografia para nosso resgate”.

Mensagem dos hackers responsáveis pelo ransomware BlackByte
Imagem: Reprodução/Graham Cluley

A nota segue com os autores não recomendando que as vítimas usem a ferramenta, já que eles não usam apenas uma chave. “Se você usar a descriptografia errada para o seu sistema, poderá danificar tudo e não conseguirá restaurar novamente”. “Queremos apenas avisá-lo, se você decidir usá-la, é por sua própria conta e risco”, finaliza.

Embora a ferramenta da Trustwave apresente um forte potencial para ajudar as vítimas, seu lançamento também significa que os hackers do BlackByte descobriram a falha em sua rotina de criptografia. Ou seja, é possível que eles já estejam buscando melhorar o ransomware.

Imagem: Pete Linforth/Pixabay/CC

Leia mais:

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal.