KeyGroup777 Ransomware
Key Group Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34437
BitDefender -> IL:Trojan.MSILZilla.24983
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Symantec - > Ransom.Sorry
Tencent -> Trojan-Ransom.Msil.Agent.ga
TrendMicro -> Ransom.MSIL.CHAOS.SMRA14
---
© Генеалогия: Chaos (Chaos Ransomware Builder 4.0) + другой код >> KeyGroup777
Tencent -> Trojan-Ransom.Msil.Agent.ga
TrendMicro -> Ransom.MSIL.CHAOS.SMRA14
---
© Генеалогия: Chaos (Chaos Ransomware Builder 4.0) + другой код >> KeyGroup777
Сайт "ID Ransomware" идентифицирует это как Chaos.
Информация для идентификации
Активность этого варианта KeyGroup777 была замечена в начале января 2023 г. и продолжалась в течение года. Ориентирован на русскоязычных пользователей, хотя записки написаны на русском и английском языках, но при расширении вектора атаки может начать распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .keygroup777tg
Или одно из похожих.
Названия файлов кодируются с использованием Base64.
Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки командами:
➤ Ранние версии программы-вымогателя Key Group использовали крипто-строитель Chaos 4.0 для создания образца программы-вымогателя, нацеленного на российских жертв.
➤ Программа-вымогатель использует статический ключ AES и вектор инициализации (IV) для рекурсивного шифрования данных жертвы и изменения имени зашифрованных файлов с расширением keygroup777tg.
Или одно из похожих.
Названия файлов кодируются с использованием Base64.
Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt
Содержание записки о выкупе:
You became victim of the keygroup777 RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way to
restore your data without a special key. You can purchase this key on the telegram page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
register a bitcoin 300$ @keygroup777tg bc1qjcq3adsr9cjq0f8aqkktvvtqtrdxmtumll7nzk .
2. register a bitcoin wallet :
https://bitcoin-wallet.org/ru/
https://bitcoin-wallet.org/ru/
3. Enter your personal decryption code there:
e5Pc4P8WjF35***
Перевод записки на русский язык:
Вы стали жертвой программы-вымогателя keygroup777!
Файлы на вашем компьютере зашифрованы с помощью алгоритма шифрования военного уровня. Нет никакого способа
восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице Telegram, указанной в шаге 2.
Чтобы приобрести ключ и восстановить данные, выполните следующие три простых шага:
зарегистрируйте биткойн на 300$ @keygroup777tg bc1qjcq3adsr9cjq0f8aqkktvvtqtrdxmtumll7nzk.
2. зарегистрируйте биткойн-кошелек:
https://bitcoin-wallet.org/ru/
https://bitcoin-wallet.org/ru/
3. Введите туда свой личный код расшифровки:
e5Pc4P8WjF35***
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin delete shadows /all /quiet & wmic shadowcopy delet
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
➤ Программа-вымогатель использует статический ключ AES и вектор инициализации (IV) для рекурсивного шифрования данных жертвы и изменения имени зашифрованных файлов с расширением keygroup777tg.
➤ Цели для шифрования:
все диски, кроме диска C и следующие директории и поддиректории:
%USERPROFILE%\\Desktop
%USERPROFILE%\\Links
%USERPROFILE%\\Contacts
%USERPROFILE%\\Desktop
%USERPROFILE%\\Documents
%USERPROFILE%\\Downloads
%USERPROFILE%\\Pictures
%USERPROFILE%\\Music
%USERPROFILE%\\OneDrive
%USERPROFILE%\\Saved Games
%USERPROFILE%\\Favourites
%USERPROFILE%\\Searches
%USERPROFILE%\\Videos
%APPDATA%
%PUBLIC%\\Documents
%PUBLIC%\\Pictures
%PUBLIC%\\Music
%PUBLIC%\\Videos
%PUBLIC%\\Desktop
➤ Key Group Ransomware может отключать обновления различных антивирусных программ, изменяя файл хостов внутри ОС Windows. На скриншоте ниже показаны целевые антивирусы и редирект на 77.88.55.60 – легитимные серверы Яндекс.RU. Кроме того, трафик перенаправляется на локальный хост, потому он будет удален, что фактически отключит обновления антивирусной защиты.
➤ В более новых версиях вымогатели стали использовать NjRAT — инструмент удаленного администрирования (RAT).
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt - название файла с требованием выкупа;
reshacker_setup3.exe, svchost.exe, worm.exe - названия вредоносных файлов.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Telegram: @keygroup777Tg
@keygroup777cyber
@keygroup777fatherbot
Email: keygroup777hackeruk@gmail.com
BTC: bc1qjcq3adsr9cjq0f8aqkktvvtqtrdxmtumll7nzk
BTC: bc1qjcq3adsr9cjq0f8aqkktvvtqtrdxmtumll7nzk
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 604fd6351a04b871dc77b6c7ad24ff3c
SHA-1: 3ed571a894c8239ea506c9eb8e53bf9cb8a2f2f8
SHA-256: 1dc05f28533a88807c1dca013c1bffa9a7afd78da1426c1fc329861dab11e5f5
Vhash: 21503615151b00714f0034
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Более ранний вариант KeyGroup777 от 30 августа 2022:
Основан на Xorist. Имеет нескольо однотипных вариантов с разными расширениями и контактами.
Расширение: .keygroup, .keygroup777
Записка: HOW TO DECRYPT FILES.txt
BTC: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg
Email: elanor35runte35@myrambler.ru, kristiana.vinogradova.77@mail.ru
Telegram: @keygroup777, @keygroup777cyber, @keygroup777fatherbot, @keygroup777huis1, @keygroup777huis2
Файл: keygroup1.exe
MD5: a7ed00a3b0f827a3dccc69d8908f5a22
SHA-1: 7a36afb00dc04927478303dc7df10c088d00da37
SHA-256: bf17f462722749cdbad455170d45b0b314311178207921a3ea9144b03eb31eb2
Vhash: 04403e0f7d101013z11z6hz1011z1fz
Imphash: a3581bfe28e762682dbc13d06bf2fda0
➤ Обнаружения:
DrWeb -> Trojan.Encoder.25389
BitDefender -> Trojan.Ransom.AIG
ESET-NOD32 -> Win32/Filecoder.Q
Kaspersky -> Trojan-Ransom.Win32.Xorist.ln
Malwarebytes -> Trojan.FileLock
Microsoft -> Ransom:Win32/Sorikrypt
Rising -> Ransom.Sorikrypt!8.8822 (TFE:5:H50DeYUdIVS)
Symantec -> Ransom.CryptoTorLocker
Tencent -> Trojan.Win32.CryptoTorLocker2015.a
TrendMicro -> Ransom_XORIST.SMA
Вариант от 22 марта 2023:
Описание шифровальщика-деструктора из статьи на сайте BI.ZONE >>
Используется и распространяется антироссийской группой: Key Wolf (Key Wolf Group).
Записка содержит предложение перевести деньги на Bitcoin-кошелек.
Содержание записки от злоумышленников:
We are the keygroup777 ransomware we decided to help Ukraine destroy Russian computers, you can help us and transfer money to a bitcoin wallet ***
---
We are the keygroup777 ransomware we decided to help Ukraine destroy Russian computers, you can help us and transfer money to a bitcoin wallet ***
---
Этот вариант отслеживает в буфере обмена адреса вводимых bitcoin-кошельков и подменяет их на адрес кошелька злоумышленников.
---
Файлы: Информирование зарегистрированных.hta и Информирование зарегистрированных.exe
➤ Особенности шифрования файлов:
Файлы с размером меньше 2117152 байт шифруются с помощью AES256‑CBC. Ключ и IV генерируются с помощью функции Rfc2898DeriveBytes с неким паролем и солью [1, 2, 3, 4, 5, 6, 7, 8]. Пароль имеет размер 20 байт, имеет чарсет abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890*!=&?&/ и генерируется с помощью стандартной функции Random(). После шифрования в файл записывается пароль в XML‑теге <EncryptedKey>, который зашифрован RSA1024‑OAEP и закодирован в Base64, после чего идет сам зашифрованный файл, закодированный в Base64.
Для файлов с размером ≥ 2117152 байт, но ≤ 200000000 байт размер файла делится на 4, и генерируется столько же случайных байт. Они помещаются в файл в таком же формате, как в первом случае, со случайным зашифрованным паролем, делая файл теоретически невосстановимым.
Для файлов с размером ≥ 200 000 000 байт генерируется случайное число байтов в промежутке от 200000000 до 300000000 байт и помещается в файл в таком же формате, как в первом случае, со случайным зашифрованным паролем, делая файл теоретически невосстановимым.
Вариант от 29 апреля 2023:
Файл: fusk.exe
IOC: VT, IA: MD5: 7e1577b6e42d47b30ae597eee720d3b1
➤ Обнаружения:
BitDefender -> IL:Trojan.MSILZilla.24983
DrWeb -> Trojan.Encoder.34437
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
TrendMicro -> Ransom_FileCoder.R002C0CI123
Вариант от 24 июня 2023:
Файл: WARNEP.exe
IOC: VT, IA: MD5: c2e1048e1e5130e36af297c73a83aff6
➤ Обнаружения:
BitDefender -> IL:Trojan.MSILZilla.24983
DrWeb -> Trojan.Encoder.34437
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
TrendMicro -> Ransom.MSIL.CHAOS.SMRA14
EclecticIQ создали инструмент расшифровки (скрипт) для версии Key Group Ransomware от 3 августа 2023 года.
"Key Group использует статический ключ N0dQM0I1JCM= в кодировке Base64 для шифрования данных жертв. Злоумышленник пытался повысить случайность зашифрованных данных, используя криптографический метод, называемый «солением». Соль была статической и использовалась для каждого процесса шифрования, что представляло собой существенный недостаток в процедуре шифрования. Эти ошибки помогли аналитикам создать инструмент расшифровки для этой конкретной версии программы-вымогателя Key Group. "
Статья на сайте EclecticIQ >>
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Write-up, Topic of Support ***
Thanks: EclecticIQ, BleepingComputer Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
