Black Basta ransomware - это недавняя угроза, которая собрала первые образцы вредоносного ПО в феврале 2022. Программа удаляет все теневые копии тома, создает новое изображение JPG в качестве обоев рабочего стола и файл ICO, представляющий зашифрованные файлы.
В отличие от других семейств вымогательских программ вредоносная программа не пропускает файлы на основе их расширений. Однако она не шифрует
критически важные папки, которые могли бы сделать систему неработоспособной. Файлы шифруются с помощью алгоритма ChaCha20, причем ключ и нонс шифруются
с использованием открытого ключа RSA, который жестко закодирован в образце. Вредоносная программа может полностью или частично шифровать файл полностью или частично в зависимости от его размера. Расширение зашифрованных файлов изменяется на .basta.
Indicators of Compromise
SHA256
ae7c868713e1d02b4db60128c651eb1e3f6a33c02544cc4cb57c3aa6c6581b6e
Files
- %Temp%\fkdjsadasd.ico
- %Temp%\dlaksjdoiwq.jpg
Processes
- cmd.exe /c "C:\Windows\SysNative\vssadmin.exe delete shadows /all /quiet"
- cmd.exe /c "C:\Windows\System32\vssadmin.exe delete shadows /all /quiet"
Registry
- HKEY_CLASSES_ROOT\ .basta