Perusahaan perangkat lunak keamanan siber Ceko, Avast, telah membuat dan merilis alat dekripsi untuk membantu korban ransomware Babuk memulihkan file mereka secara gratis.
Menurut Avast Threat Labs, dekripsi Babuk dibuat menggunakan kode sumber dan kunci dekripsi yang bocor.
Decryptor gratis dapat digunakan oleh korban Babuk yang filenya dienkripsi menggunakan ekstensi berikut: .babuk, .babyk, .doydo.
Korban ransomware Babuk dapat mengunduh alat dekripsi dari server Avast dan mendekripsi seluruh partisi sekaligus menggunakan instruksi yang ditampilkan dalam antarmuka pengguna dekripsi.
Dari pengujian BleepingComputer, decryptor ini kemungkinan hanya akan bekerja untuk korban yang kuncinya bocor sebagai bagian dari dump kode sumber Babuk.
Ransomware dan Kunci Dekripsi Bocor
Kode sumber ransomware lengkap geng Babuk bocor di forum peretasan berbahasa Rusia bulan lalu oleh aktor ancaman yang mengaku sebagai anggota kelompok ransomware.
Keputusan untuk membocorkan kode tersebut dilatarbelakangi oleh dugaan anggota Babu yang mengidap penyakit kanker stadium akhir. Dia mengatakan dalam posting kebocorannya bahwa dia memutuskan untuk merilis kode sumber sementara mereka harus “hidup seperti manusia.”
Arsip bersama berisi berbagai proyek ransomware Visual Studio Babuk untuk VMware ESXi, NAS, dan Windows encryptors, dengan folder Windows berisi kode sumber lengkap untuk Windows encryptor, decryptor, dan apa yang tampak seperti generator kunci pribadi dan publik.
Termasuk dalam kebocoran itu juga encryptors dan decryptors yang dikompilasi untuk korban tertentu dari geng ransomware.
Setelah kebocoran tersebut, CTO Emsisoft dan pakar ransomware Fabian Wosar mengatakan kepada BleepingComputer bahwa kode sumbernya sah dan arsip tersebut mungkin juga berisi kunci dekripsi untuk korban sebelumnya.
Sejarah Babuk yang Bermasalah
Babuk Locker, juga dikenal sebagai Babyk dan Babuk, adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis untuk mencuri dan mengenkripsi data mereka sebagai bagian dari serangan pemerasan ganda.
Setelah serangan mereka di Departemen Kepolisian Metropolitan (MPD) Washington DC, mereka mendarat di rambut salib penegak hukum AS dan mengaku telah menutup operasi mereka setelah mulai merasakan panas.
Setelah serangan ini, ‘Admin’ geng tersebut diduga ingin membocorkan data MPD yang dicuri secara online untuk publisitas, sementara anggota lainnya menentangnya.
Setelah ini, anggota Babuk terpecah, dengan admin asli meluncurkan forum kejahatan dunia maya Ramp dan yang lainnya meluncurkan kembali ransomware dengan nama Babuk V2, terus menargetkan dan mengenkripsi korban sejak saat itu.
Tepat setelah peluncuran forum cybercrime Ramp, itu menjadi sasaran serangkaian serangan DDoS yang akhirnya menyebabkan situs menjadi tidak dapat digunakan.
Sementara Admin Babuk menyalahkan mantan rekannya atas insiden ketiga, tim Babuk V2 mengatakan kepada BleepingComputer bahwa mereka tidak berada di balik serangan tersebut.
sumber: BLEEPING COMPUTER