[[431831]]

捷克網(wǎng)絡安全軟件公司 Avast 創(chuàng)建并發(fā)布了一個解密工具，以幫助 Babuk 勒索軟件受害者免費恢復文件。

Avast Threat Labs介紹，Babuk解密器是使用泄漏的源代碼和解密密鑰進行創(chuàng)建的，擁有擴展名為.babuk、.babyk、.doydo加密文件的 Babuk 受害者才可以免費使用。Babuk勒索軟件的受害者可以從Avast的服務器上下載解密工具，并按照用戶界面提示一次性解密整個分區(qū)。根據(jù)測試，該解密器可能只對Babuk源代碼轉儲的部分密鑰泄露受害者有效。

泄露的源代碼和解密密鑰源自一名自稱是Babuk的組織成員，這名所謂的Babuk成員稱因癌癥晚期而不得不作出泄露源代碼的決定。泄露的共享文檔包含不同的Visual Studio Babuk勒索軟件項目，用于VMware ESXi、NAS和Windows加密器，其中Windows文件夾包含Windows加密器、解密器的完整源代碼，以及看起來像私鑰和公鑰生成器的內容。文件還包括勒索軟件團伙為特定受害者編寫的加密和解密程序。

Babuk Windows 加密器源代碼

泄漏事件發(fā)生后，Emsisoft 首席技術官兼勒索軟件專家Fabian Wosar稱該源代碼是合法的，而且文檔中可能還包含過去受害者的解密密鑰。

Babuk的動蕩歷史

Babuk Locker，又名Babyk和Babuk，是一種勒索軟件行動，在2021年初發(fā)起時便針對企業(yè)的數(shù)據(jù)進行竊取和加密雙重勒索攻擊。在襲擊華盛頓特區(qū)的大都會警察局(MPD) 后，該組織被美國執(zhí)法部門盯上，Babuk迫于壓力停止了行動。

因該組織“管理員”想將竊取的MPD數(shù)據(jù)泄漏到網(wǎng)站進行公開，遭到其他成員的反對。此后Babuk成員分裂成兩股勢力，最初的“管理員”另立門戶發(fā)起了Ramp網(wǎng)絡犯罪網(wǎng)站，其他成員則以Babuk V2的名義重新啟動了勒索軟件，從那時起繼續(xù)瞄準和加密企業(yè)數(shù)據(jù)實施勒索攻擊。

Ramp網(wǎng)絡犯罪網(wǎng)站剛成立不久便遭到一系列DDoS攻擊導致無法使用。“管理員”認為攻擊的幕后黑手是他的前合作伙伴，但Babuk V2對此進行了否認。

參考來源：

https://www.bleepingcomputer.com/news/security/babuk-ransomware-decryptor-released-to-recover-files-for-free/