思科 Talos 研究人员发布 Tortilla 勒索软件的解密密钥

所有受害者都可以恢复数据，而无需支付赎金。

思科 Talos与荷兰 警方合作，通过解密 名为 Tortilla 的 Babuk 勒索软件病毒变体， 在打击网络犯罪方面取得了重大进展 。

这之所以成为可能，是因为捕获了该病毒运营商之前向同意支付赎金的受害者提供的特殊解密工具。显然，该仪器本身是在居住在阿姆斯特丹的玉米饼操作员被捕后不久被扣押的。

在原始 Babuk 病毒的源代码在黑客论坛上在线泄露后不久，“Tortilla”就出现了。该恶意软件变体的作者主动攻击Microsoft Exchange服务器，利用ProxyShell漏洞分发加密恶意软件。

尽管Avast在Tortilla发布前一个月就发布了Babuk解密工具，但由于使用了不同的私钥，该工具对新变种无效。

Talos 研究人员发现，该病毒可执行文件包含用于所有攻击的单个公钥/私钥对。提取密钥后，信息就会传递给 Avast 以更新他们的 Babuk 解密器。

Avast 已将“Tortilla”解密密钥包含在其通用解密工具 Babuk 中，其中还包含从 2021 年源代码泄露中获得的 14 个 ECDH-25519 密钥。Tortilla 受害者现在可以使用Avast 的解密器免费恢复数据 。

Cisco Talos 强调，Tortilla 并不是唯一使用 Babuk 代码加密受害者数据的操作。自 2021 年 12 月以来，还出现了其他 7 个使用该代码的恶意操作：Rook、Night Sky、Pandora、Nokoyawa Cheerscrypt、AstraLocker 2.0、ESCiArgs、Rorschach、RTM Locker 和 RA Group。