Исследователи воспользовались слабым местом в схеме шифрования программы Key Group ransomware и разработали инструмент для расшифровки, позволяющий некоторым жертвам бесплатно восстановить свои файлы.
Дешифратор, созданный экспертами по безопасности из компании EclecticIQ, работает для версий вредоносной программы, созданных в начале августа.
Злоумышленники утверждают, что их вредоносная программа использует "шифрование AES военного класса", однако в ней используется статическая соль во всех процессах шифрования, что делает схему несколько предсказуемой, а шифрование - возможным для отмены.
"[Key Group ransomware] шифрует данные жертвы с помощью алгоритма AES в режиме Cipher Block Chaining (CBC) с заданным статическим паролем", - поясняет EclecticIQ.
"Пароль получается из ключа с помощью функции Password-Based Key Derivation Function 2 (PBKDF2) с фиксированной солью", - добавляют исследователи.
Профиль Key Group
Key Group - это русскоязычный угрожающий агент, который начал действовать в начале 2023 года, атакуя различные организации, похищая данные из взломанных систем и используя частные каналы Telegram для переговоров о выкупе.
Российская компания BI.ZONE ранее сообщала, что Key Group создала свою программу-вымогатель на основе конструктора Chaos 4.0, а EclecticIQ зафиксировала продажу на русскоязычных darknet-рынках украденных данных и SIM-карт, а также обмен данными о доксинге и удаленном доступе к IP-камерам.
После шифрования Key Group удаляет оригинальные файлы с системы жертвы и добавляет ко всем записям расширение .KEYGROUP777TG.
Злоумышленники используют двоичные файлы Windows, так называемые LOLBins, для удаления теневых копий тома, что не позволяет восстановить систему и данные без уплаты выкупа.
Кроме того, вредоносная программа изменяет адреса хостов антивирусных продуктов, работающих на взломанной системе, не позволяя им получать обновления.
Как использовать дешифратор
Расшифровщик рандомного ПО Key Group представляет собой скрипт на языке Python (приведен в Приложении A к отчету). Пользователи могут сохранить его как Python-файл и запустить с помощью следующей команды:
python decryptor.py /path/to/search/directory
Сценарий выполнит поиск в целевом каталоге и его подкаталогах файлов с расширением .KEYGROUP777TG, расшифрует и сохранит разблокированное содержимое с оригинальным именем файла (декодированным из строки base64).
Обратите внимание на необходимость использования некоторых библиотек Python, в частности, пакета криптографии.
Перед использованием любого расшифровщика всегда следует создавать резервные копии зашифрованных данных, поскольку этот процесс может привести к необратимому повреждению и безвозвратной потере данных.
Выпуск расшифровщика EclecticIQ может подтолкнуть Key Group к устранению уязвимостей в своих программах-рансомах, что сделает будущие версии более сложными для расшифровки. Тем не менее, данный инструмент остается ценным для тех, кто пострадал от текущих версий.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
