网络安全公司Profero的研究人员近期成功破解了DarkBit勒索软件的加密机制，为受害者提供了无需支付赎金即可恢复文件的可能。该研究发现DarkBit在采用AES-128-CBC加密时存在密钥生成缺陷，通过结合文件时间戳和VMDK文件头特征，成功缩小密钥空间并进行暴力破解。更具创新性的是，Profero发现DarkBit仅加密文件部分内容，并利用VMDK文件的稀疏存储特性，直接提取未加密区块，从而高效恢复了90%以上的文件。尽管目前解密工具尚未正式发布，但Profero建议受影响机构暂缓重建系统，保留加密文件副本，并可尝试专业数据恢复手段提取未加密数据。此次破解行动标志着在对抗勒索软件方面取得的重要进展。

💡 Profero公司发现DarkBit勒索软件在加密过程中存在严重的技术缺陷，特别是在使用AES-128-CBC加密时，其密钥生成算法存在漏洞。研究人员通过结合文件时间戳和VMDK文件头的已知特征，成功将潜在的密钥空间大幅缩小，从而为暴力破解提供了可能，并在高性能计算环境中实现了对单个文件的破解。

🚀 另一项关键突破在于Profero的研究人员发现DarkBit勒索软件并未完全加密受影响的文件，而是仅加密了文件的一部分内容。利用VMDK文件“稀疏存储”的特性，即磁盘映像中实际存储数据的区块占比很低，研究人员能够直接提取出那些未被加密的关键数据区块，从而绕过了复杂的解密流程，大大提高了文件恢复的效率，成功恢复了90%以上的重要文件。

🤝 Profero公司确认了DarkBit勒索软件行动与伊朗背景的APT组织“MuddyWater”存在关联，并提及了2023年一起针对VMware ESXi服务器的DarkBit攻击事件，该事件疑似是对伊朗无人机袭击的报复。攻击者在此次事件中并未进行赎金谈判，而是侧重于业务中断和舆论施压，甚至在勒索信中加入了反以色列的政治内容。

⚠️ 尽管技术验证已取得成功，Profero公司强调需要进一步优化解密工具的可扩展性，目前尚未正式发布解密工具。Profero建议受影响的机构暂时不要重建受损系统，并保留加密文件的副本，以便在后续解密工具发布后进行恢复。同时，用户也可以尝试通过专业的数据恢复手段来提取未加密的文件区块。

HackerNews 编译，转载请注明出处：

网络安全公司Profero的研究人员成功破解了DarkBit勒索软件的加密机制，使受害者无需支付赎金即可免费恢复文件。不过该公司目前尚未正式发布解密工具。

以色列国家网络管理局（INCD）确认DarkBit勒索软件行动与伊朗背景的APT组织”MuddyWater”存在关联。2023年，Profero曾协助处理一起针对VMware ESXi服务器的DarkBit攻击事件，该事件疑似是对伊朗无人机袭击的报复行为。攻击者未进行赎金谈判，而是专注于业务中断和舆论施压——他们伪装成亲伊朗黑客组织，不仅索要80枚比特币，还在勒索信中添加反以色列政治内容。

加密缺陷与技术突破

研究人员发现该勒索软件采用AES-128-CBC加密时，其密钥生成算法存在严重缺陷。通过结合文件时间戳和已知VMDK文件头特征，团队将密钥空间缩小至数十亿种可能，为暴力破解创造了条件。在专用测试工具辅助下，首个VMDK文件于高性能计算（HPC）环境中耗时24小时完成破解。但该方法存在局限性：单个文件解密需1天时间，且HPC环境扩展能力受限。

创新性解决方案

进一步分析揭示：勒索软件仅加密了文件部分内容。研究人员利用VMDK文件”稀疏存储”特性（即磁盘映像中实际存储数据的区块占比极低），直接提取未加密区块，成功恢复90%以上关键文件。“统计显示，VMDK文件系统内大部分文件实际未被加密，我们只需遍历文件系统即可直接获取所需数据”，研究人员在报告中指出。该方法绕过了解密流程，大幅提升恢复效率。

当前进展与建议

虽然技术验证已成功，但Profero强调需进一步优化解密工具的可扩展性。该公司建议受影响机构：暂勿重建受损系统，保留加密文件副本以待后续解密工具发布；同时可通过专业数据恢复手段尝试提取未加密区块。

 

 

 

---

消息来源： securityaffairs；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文