Попались на соли: исследователи безопасности выпустили дешифратор против вымогателя Key Group

Исследователи кибербезопасности воспользовались уязвимостью в схеме шифрования вымогательского программного обеспечения Key Group и разработали инструмент, который позволит многим жертвам восстановить свои файлы абсолютно бесплатно.

Дешифратор был создан специалистами из компании EclecticIQ и работает с версиями вредоносной программы Key Group, собранными в начале этого августа.

Злоумышленники ранее утверждали, что их софт использует «военный уровень шифрования AES». Возможно, это и правда так, но вымогатели допустили ошибку, применив статическую соль во всех криптографических процессах, что сделало общую схему шифрования предсказуемой и обратимой.

Вымогательская группировка Key Group начала свою активность в начале этого года. Она атаковала различные организации, похищала данные из взломанных систем, а затем использовала закрытые Telegram-каналы для переговоров о выкупе.

В марте исследователи кибербезопасности компании BI.ZONE сообщали , что шифровальщик Key Group основан на конструкторе вымогателей Chaos 4.0.

Специалисты EclecticIQ, в свою очередь, выяснили , чем группировка занимается в даркнете. Её операторы продают украденные данные, публикуют информацию для деанонимизации, предоставляют удалённый доступ к IP-камерам и многое другое.

По завершении процесса шифрования вредонос Key Group переносит зашифрованные файлы в новый «контейнер» с расширением «.KEYGROUP777TG», а все оригинальные данные удаляет.

Злоумышленники используют легитимные двоичные файлы Windows, так называемые LOLBins, для удаления теневых копий тома, тем самым предотвращая восстановление системы и данных без уплаты выкупа.

Более того, вредоносная программа изменяет адреса хостов антивирусных продуктов, запущенных во взломанной системе, чтобы помешать им получать свежие обновления.

Дешифратор Key Group, разработанный EclecticIQ, представляет из себя обычный Python-скрипт , который пользователи, при наличии установленного Python в Windows, могут запустить следующей командой:

python decryptor.py /path/to/search/directory

Скрипт просмотрит каталог, из которого был запущен, вместе со всеми подкаталогами на наличие файлов с расширением «.KEYGROUP777TG», расшифрует и сохранит содержимое с исходным именем файла.

Как уже упоминалось выше, для работы дешифратора требуется установленный Python, а также библиотека cryptography .

Перед запуском скрипта эксперты рекомендуют сделать резервную копию зашифрованных файлов, поскольку в случае неудачи процесс может привести к необратимому повреждению и потере данных.

Выпуск дешифратора специалистами EclecticIQ может побудить злоумышленников, ответственных за разработку шифровальщика Key Group, устранить уязвимости в своём ПО, что затруднит дешифровку будущих версий. Тем не менее, инструмент остаётся крайне ценным для жертв, пострадавших от текущих версий вымогательского софта