Το Free Key Group ransomware decryptor βοηθά τα θύματα να ανακτήσουν δεδομένα
Οι ερευνητές εκμεταλλεύτηκαν μια αδυναμία στο σύστημα κρυπτογράφησης του ransomware του Key Group και ανέπτυξαν ένα εργαλείο αποκρυπτογράφησης που επιτρέπει σε ορισμένα θύματα να ανακτήσουν τα αρχεία τους δωρεάν.
Ο αποκρυπτογραφητής δημιουργήθηκε από ειδικούς ασφαλείας στην εταιρεία πληροφοριών απειλών EclecticIQ και λειτουργεί για εκδόσεις του κακόβουλου λογισμικού που κατασκευάστηκαν σ
τι
ς αρχές Αυγούστου.
Οι εισβολείς ισχυρίστηκαν ότι το κακόβουλο
λογισμικό
τους χρησιμοποιούσε «κρυπτογράφηση AES στρατιωτικού βαθμού», αλλά το ντουλάπι χρησιμοποιεί ένα στατικό αλάτι σε όλες τις διαδικασίες κρυπτογράφησης, καθιστώντας το σχήμα κάπως προβλέψιμο και την κρυπτογράφηση δυνατή την αναστροφή.
“[Key Group ransomware] κρυπτογραφεί τα δεδομένα των θυμάτων χρησιμοποιώντας τον αλγόριθμο AES σε λειτουργία Cipher Block Chaining (CBC) με έναν δεδομένο στατικό κωδικό πρόσβασης.
εξηγεί το EclecticIQ
«Ο κωδικός πρόσβασης προέρχεται από ένα κλειδί που χρησιμοποιεί τη συνάρτηση παραγωγής κλειδιού βάσει κωδικού πρόσβασης 2 (PBKDF2) με ένα σταθερό αλάτι», προσθέτουν οι ερευνητές.
Ευάλωτη λειτουργία (αριστερά), στατικό πλήκτρο (δεξιά)
(EclecticIQ)
Προφίλ ομάδας κλειδιών
Η Key Group είναι ένας ρωσόφωνος παράγοντας απειλών που ξεκίνησε τη δράση του στις αρχές του 2023, επιτίθεται σε διάφορους οργανισμούς, κλέβοντας δεδομένα από παραβιασμένα συστήματα και στη συνέχεια χρησιμοποιώντας ιδιωτικά κανάλια
Telegram
για να διαπραγματευτεί πληρωμές λύτρων.
Η ρωσική εταιρεία πληροφοριών απειλών BI.ZONE ανέφερε προηγουμένως ότι η Key Group βασίστηκε το ransomware της στο πρόγραμμα δημιουργίας Chaos 4.0, ενώ η EclecticIQ είδε την ομάδα να πωλεί σε ρωσόφωνες αγορές σκοτεινού δικτύου κλεμμένα δεδομένα και κάρτες SIM, καθώς και να μοιράζεται δεδομένα
doxing
και απομακρυσμένη πρόσβαση σε κάμερες IP.
Το Key Group σκουπίζει τα αρχικά αρχεία από το σύστημα του θύματος μετά τη διαδικασία κρυπτογράφησης και εφαρμόζει την επέκταση αρχείου .KEYGROUP777TG σε όλες τις καταχωρήσεις.
Οι εισβολείς χρησιμοποιούν δυαδικά αρχεία των Windows, τα λεγόμενα LOLBins, για να διαγράψουν αντίγραφα σκιάς τόμου, αποτρέποντας έτσι την αποκατάσταση συστήματος και δεδομένων χωρίς να πληρώσουν λύτρα.
Επιπλέον
, το κακόβουλο λογισμικό αλλάζει τις διευθύνσεις κεντρικού υπολογιστή των προϊόντων προστασίας από ιούς που εκτελούνται στο σύστημα που έχει παραβιαστεί για να τους αποτρέψει από τη λήψη ενημερώσεων.
.png)
Σημείωση λύτρων Key Group
(EclecticIQ)
Πώς να χρησιμοποιήσετε τον αποκρυπτογραφητή
Ο αποκρυπτογραφητής ransomware Key Group είναι ένα σενάριο Python (κοινόχρηστο στο Παράρτημα Α ενότητα της αναφοράς). Οι χρήστες μπορούν να το αποθηκεύσουν ως αρχείο Python και στη συνέχεια να το εκτελέσουν χρησιμοποιώντας την ακόλουθη εντολή:
python decryptor.py /path/to/search/directory
Το σενάριο θα πραγματοποιήσει αναζήτηση στον κατάλογο προορισμού και στους υποκαταλόγους του για αρχεία με την επέκταση .KEYGROUP777TG και θα αποκρυπτογραφήσει και θα αποθηκεύσει το ξεκλείδωτο περιεχόμενο με το αρχικό όνομα αρχείου (αποκωδικοποιημένο από τη συμβολοσειρά base64).
Σημειώστε ότι απαιτούνται ορισμένες βιβλιοθήκες Python, ειδικά η
κρυπτογράφηση
πακέτο.
Είναι πάντα συνετό να δημιουργείτε αντίγραφα ασφαλείας των (κρυπτογραφημένων) δεδομένων σας πριν χρησιμοποιήσετε οποιονδήποτε αποκρυπτογραφητή, καθώς η διαδικασία μπορεί να οδηγήσει σε μη αναστρέψιμη καταστροφή δεδομένων και μόνιμη απώλεια δεδομένων.
Η κυκλοφορία του αποκρυπτογραφητή του EclecticIQ μπορεί να ωθήσει την Key Group να αντιμετωπίσει τα τρωτά σημεία στο ransomware της, καθιστώντας τις μελλοντικές εκδόσεις πιο δύσκολη την αποκρυπτογράφηση. Ωστόσο, το εργαλείο παραμένει πολύτιμο για άτομα που επηρεάζονται από τις τρέχουσες εκδόσεις.
