- 9,304
- 18
- 8 Ноя 2022
Хакеры допустили непростительную ошибку в процессе хеширования пользовательских файлов.
Исследователи кибербезопасности воспользовались уязвимостью в схеме шифрования вымогательского программного обеспечения Key Group и разработали инструмент, который позволит многим жертвам восстановить свои файлы абсолютно бесплатно.
Дешифратор Для просмотра ссылки Войдиили Зарегистрируйся специалистами из компании EclecticIQ и работает с версиями вредоносной программы Key Group, собранными в начале этого августа.
Злоумышленники ранее утверждали, что их софт использует «военный уровень шифрования AES» . Возможно, это и правда так, но вымогатели допустили ошибку, применив статическую соль во всех криптографических процессах, что сделало общую схему шифрования предсказуемой и обратимой.
Вымогательская группировка Key Group начала свою активность в начале этого года. Она атаковала различные организации, похищала данные из взломанных систем, а затем использовала закрытые Telegram -каналы для переговоров о выкупе.
В марте исследователи кибербезопасности компании BI.ZONE Для просмотра ссылки Войдиили Зарегистрируйся , что шифровальщик Key Group основан на конструкторе вымогателей Chaos 4.0.
Специалисты EclecticIQ, в свою очередь, Для просмотра ссылки Войдиили Зарегистрируйся , чем группировка занимается в даркнете. Её операторы продают украденные данные, публикуют информацию для деанонимизации, предоставляют удалённый доступ к IP-камерам и многое другое.
По завершении процесса шифрования вредонос Key Group переносит зашифрованные файлы в новый «контейнер» с расширением «.KEYGROUP777TG», а все оригинальные данные удаляет.
Злоумышленники используют легитимные двоичные файлы Windows , так называемые LOLBins , для удаления теневых копий тома, тем самым предотвращая восстановление системы и данных без уплаты выкупа.
Более того, вредоносная программа изменяет адреса хостов антивирусных продуктов, запущенных во взломанной системе, чтобы помешать им получать свежие обновления.
Дешифратор Key Group, разработанный EclecticIQ, представляет из себя обычный Для просмотра ссылки Войдиили Зарегистрируйся , который пользователи, при наличии установленного Python в Windows, могут запустить следующей командой:
<code>python decryptor.py /path/to/search/directory</code>
Скрипт просмотрит каталог, из которого был запущен, вместе со всеми подкаталогами на наличие файлов с расширением «.KEYGROUP777TG», расшифрует и сохранит содержимое с исходным именем файла.
Как уже упоминалось выше, для работы дешифратора требуется установленный Python, а также библиотека Для просмотра ссылки Войдиили Зарегистрируйся .
Перед запуском скрипта эксперты рекомендуют сделать резервную копию зашифрованных файлов, поскольку в случае неудачи процесс может привести к необратимому повреждению и потере данных.
Выпуск дешифратора специалистами EclecticIQ может побудить злоумышленников, ответственных за разработку шифровальщика Key Group, устранить уязвимости в своём ПО, что затруднит дешифровку будущих версий. Тем не менее, инструмент остаётся крайне ценным для жертв, пострадавших от текущих версий вымогательского софта
Исследователи кибербезопасности воспользовались уязвимостью в схеме шифрования вымогательского программного обеспечения Key Group и разработали инструмент, который позволит многим жертвам восстановить свои файлы абсолютно бесплатно.
Дешифратор Для просмотра ссылки Войди
Злоумышленники ранее утверждали, что их софт использует «военный уровень шифрования AES» . Возможно, это и правда так, но вымогатели допустили ошибку, применив статическую соль во всех криптографических процессах, что сделало общую схему шифрования предсказуемой и обратимой.
Вымогательская группировка Key Group начала свою активность в начале этого года. Она атаковала различные организации, похищала данные из взломанных систем, а затем использовала закрытые Telegram -каналы для переговоров о выкупе.
В марте исследователи кибербезопасности компании BI.ZONE Для просмотра ссылки Войди
Специалисты EclecticIQ, в свою очередь, Для просмотра ссылки Войди
По завершении процесса шифрования вредонос Key Group переносит зашифрованные файлы в новый «контейнер» с расширением «.KEYGROUP777TG», а все оригинальные данные удаляет.
Злоумышленники используют легитимные двоичные файлы Windows , так называемые LOLBins , для удаления теневых копий тома, тем самым предотвращая восстановление системы и данных без уплаты выкупа.
Более того, вредоносная программа изменяет адреса хостов антивирусных продуктов, запущенных во взломанной системе, чтобы помешать им получать свежие обновления.
Дешифратор Key Group, разработанный EclecticIQ, представляет из себя обычный Для просмотра ссылки Войди
<code>python decryptor.py /path/to/search/directory</code>
Скрипт просмотрит каталог, из которого был запущен, вместе со всеми подкаталогами на наличие файлов с расширением «.KEYGROUP777TG», расшифрует и сохранит содержимое с исходным именем файла.
Как уже упоминалось выше, для работы дешифратора требуется установленный Python, а также библиотека Для просмотра ссылки Войди
Перед запуском скрипта эксперты рекомендуют сделать резервную копию зашифрованных файлов, поскольку в случае неудачи процесс может привести к необратимому повреждению и потере данных.
Выпуск дешифратора специалистами EclecticIQ может побудить злоумышленников, ответственных за разработку шифровальщика Key Group, устранить уязвимости в своём ПО, что затруднит дешифровку будущих версий. Тем не менее, инструмент остаётся крайне ценным для жертв, пострадавших от текущих версий вымогательского софта
- Источник новости
- www.securitylab.ru
