محققان سیسکو تالوس در نتیجهء همکاری با پلیس هلند توانستند، ابزاری برای رمزگشایی نوع Tortilla از باج افزار Babuk به دست آوردند و اطلاعاتی را به اشتراک بگذارند که منجر به دستگیری اپراتور این باجافزار شود. Tortilla یک نوع باج افزار Babuk است که مدت کوتاهی پس از افشای کد منبع بدافزار اصلی در یک انجمن هک ظاهر شد. عامل تهدید، با سوء استفاده از ProxyShell، سرورهای Microsoft Exchange را مورد هدف قرار داد تا بدافزار رمزگذاری داده را به کار گیرد.
کلید رمزگذاری بدست آمده با Avast نیز که قبلاً رمزگشای باج افزار Babuk را پس از افشای کد منبع آن در سپتامبر ۲۰۲۱ منتشر کرده بود، به اشتراک گذاشته شد. رمزگشای بهروزرسانی شده را میتوانید در اینجا [فایلEXE [ مشاهده کنید.
یک کلید خصوصی برای همه قربانیان عامل تهدید Tortilla استفاده میشود. این ویژگی، بهروزرسانی رمزگشا را بسیار مفید میکند، زیرا همه قربانیان کمپین میتوانند از آن برای رمزگشایی فایلهای خود استفاده کنند.
کمپین Tortilla برای اولین بار توسط تالوس در نوامبر ۲۰۲۱ توسط حملاتی که از آسیب پذیریهای ProxyShell در سرورهای Microsoft Exchange برای استقرار باج افزار در محیطهای قربانی استفاده میکردند، شناخته شد.
Tortilla یکی از انواع باج افزارهایی است که بدافزارِ رمزگذاریِ فایلِ خود را بر اساس کد منبع فاش شده Babuk استوار کرده است. این شامل Rook، Night Sky، Pandora، Nokoyawa، Cheerscrypt، AstraLocker 2.0، ESXiArgs، Rorschach، RTM Locker و RA Group میباشد.
این توسعه زمانی صورت پذیرفت که SRLabs، شرکت امنیت سایبری آلمانی با بهرهگیری از ضعف رمزنگاری برای بازیابی بخشی (یا بطور کامل) از یک فایل، رمزگشایی را برای باج افزار Black Basta به نام Black Basta Buster منتشر کرد. در صورتی که متن ساده به عنوان ۶۴ بایت رمزگذاری شده شناخته شده باشد، میتوان فایلها را بازیابی کرد. اینکه یک فایل به طور کامل یا جزئی قابل بازیابی باشد بستگی به اندازه فایل دارد. فایلهای کمتر از ۵۰۰۰ بایت قابل بازیابی نیستند اما برای فایلهای بین ۵۰۰۰ بایت تا ۱ گیگابایت، بازیابی کامل امکان پذیر است. برای فایلهای بزرگتر از ۱ گیگابایت، ۵۰۰۰ بایت اول از بین میرود اما باقیمانده آن قابل بازیابی خواهد بود.
