KeyGroup777

KeyGroup777 Ransomware

Key Group Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма AES в режиме CBC, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: KeyGroup777 Ransomware. На файле написано: reshacker_setup3.exe, svchost.exe или что-то другое. Кроме шифрования файлов программа-вымогатель отправляет личную информацию (PII) с атакованных устройств злоумышленникам. Используется и распространяется антироссийской группой: Key Wolf (Key Wolf Group). Разработчик: DarkZeus. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34437
BitDefender -> IL:Trojan.MSILZilla.24983
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Generic.Malware.AI.DDS
Microsoft -> Ransom:MSIL/FileCoder.AD!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)

Symantec - > Ransom.Sorry
Tencent -> Trojan-Ransom.Msil.Agent.ga
TrendMicro -> Ransom.MSIL.CHAOS.SMRA14
---

© Генеалогия: Chaos (Chaos Ransomware Builder 4.0) + другой код >> KeyGroup777

Сайт "ID Ransomware" идентифицирует это как KeyGroup777 с 27 июля 2024.  

Информация для идентификации

Активность этого варианта KeyGroup777 была замечена в начале января 2023 г. и продолжалась в течение года. Ориентирован на русскоязычных  пользователей, хотя записки написаны на русском и английском языках, но при расширении вектора атаки может начать распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .keygroup777tg
Или одно из похожих. 

Названия файлов кодируются с использованием Base64. 

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:

You became victim of the keygroup777 RANSOMWARE!

The files on your computer have been encrypted with an military grade encryption algorithm. There is no way to

restore your data without a special key. You can purchase this key on the telegram page shown in step 2.

To purchase your key and restore your data, please follow these three easy steps:

register a bitcoin 300$ @keygroup777tg bc1qjcq3adsr9cjq0f8aqkktvvtqtrdxmtumll7nzk .

2. register a bitcoin wallet :

https://bitcoin-wallet.org/ru/

https://bitcoin-wallet.org/ru/

3. Enter your personal decryption code there:

e5Pc4P8WjF35***

Перевод записки на русский язык:

Вы стали жертвой программы-вымогателя keygroup777!

Файлы на вашем компьютере зашифрованы с помощью алгоритма шифрования военного уровня. Нет никакого способа

восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице Telegram, указанной в шаге 2.

Чтобы приобрести ключ и восстановить данные, выполните следующие три простых шага:

зарегистрируйте биткойн на 300$ @keygroup777tg bc1qjcq3adsr9cjq0f8aqkktvvtqtrdxmtumll7nzk.

2. зарегистрируйте биткойн-кошелек:

https://bitcoin-wallet.org/ru/

https://bitcoin-wallet.org/ru/

3. Введите туда свой личный код расшифровки:

e5Pc4P8WjF35***

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки командами:

vssadmin delete shadows /all /quiet & wmic shadowcopy delet

bcdedit /set {default} bootstatuspolicy ignoreallfailures

bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no

bcdedit /set {default} recoveryenabled no

wbadmin delete catalog -quiet

➤ Ранние версии программы-вымогателя Key Group использовали крипто-строитель Chaos 4.0 для создания образца программы-вымогателя, нацеленного на российских жертв.  

➤ Программа-вымогатель использует статический ключ AES и вектор инициализации (IV) для рекурсивного шифрования данных жертвы и изменения имени зашифрованных файлов с расширением keygroup777tg. 

➤ Цели для шифрования: 

все диски, кроме диска C и следующие директории и поддиректории: 

%USERPROFILE%\\Desktop

%USERPROFILE%\\Links

%USERPROFILE%\\Contacts

%USERPROFILE%\\Desktop

%USERPROFILE%\\Documents

%USERPROFILE%\\Downloads

%USERPROFILE%\\Pictures

%USERPROFILE%\\Music

%USERPROFILE%\\OneDrive

%USERPROFILE%\\Saved Games

%USERPROFILE%\\Favourites

%USERPROFILE%\\Searches

%USERPROFILE%\\Videos

%APPDATA%

%PUBLIC%\\Documents

%PUBLIC%\\Pictures

%PUBLIC%\\Music

%PUBLIC%\\Videos

%PUBLIC%\\Desktop

➤ Key Group Ransomware может отключать обновления различных антивирусных программ, изменяя файл хостов внутри ОС Windows. На скриншоте ниже показаны целевые антивирусы и редирект на 77.88.55.60 – легитимные серверы Яндекс.RU. Кроме того, трафик перенаправляется на локальный хост, потому он будет удален, что фактически отключит обновления антивирусной защиты. 

➤ В более новых версиях вымогатели стали использовать NjRAT — инструмент удаленного администрирования (RAT). 

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt - название файла с требованием выкупа;
reshacker_setup3.exe, svchost.exe, worm.exe - названия вредоносных файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @keygroup777Tg

@keygroup777cyber

@keygroup777fatherbot

Email: keygroup777hackeruk@gmail.com
BTC: bc1qjcq3adsr9cjq0f8aqkktvvtqtrdxmtumll7nzk

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 604fd6351a04b871dc77b6c7ad24ff3c

SHA-1: 3ed571a894c8239ea506c9eb8e53bf9cb8a2f2f8

SHA-256: 1dc05f28533a88807c1dca013c1bffa9a7afd78da1426c1fc329861dab11e5f5

Vhash: 21503615151b00714f0034

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний вариант KeyGroup777 от 30 августа 2022:

Основан на Xorist. Имеет нескольо однотипных вариантов с разными расширениями и контактами. 

Расширение: .keygroup, .keygroup777

Записка: HOW TO DECRYPT FILES.txt

BTC: bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg

Email: elanor35runte35@myrambler.ru, kristiana.vinogradova.77@mail.ru

Telegram: @keygroup777, @keygroup777cyber, @keygroup777fatherbot, @keygroup777huis1, @keygroup777huis2

Файл: keygroup1.exe

IOC: VT, IA, TG

MD5: a7ed00a3b0f827a3dccc69d8908f5a22

SHA-1: 7a36afb00dc04927478303dc7df10c088d00da37

SHA-256: bf17f462722749cdbad455170d45b0b314311178207921a3ea9144b03eb31eb2

Vhash: 04403e0f7d101013z11z6hz1011z1fz

Imphash: a3581bfe28e762682dbc13d06bf2fda0

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.25389

BitDefender -> Trojan.Ransom.AIG

ESET-NOD32 -> Win32/Filecoder.Q

Kaspersky -> Trojan-Ransom.Win32.Xorist.ln

Malwarebytes -> Trojan.FileLock

Microsoft -> Ransom:Win32/Sorikrypt

Rising -> Ransom.Sorikrypt!8.8822 (TFE:5:H50DeYUdIVS)

Symantec -> Ransom.CryptoTorLocker

Tencent -> Trojan.Win32.CryptoTorLocker2015.a

TrendMicro -> Ransom_XORIST.SMA

Вариант от 22 марта 2023: 

Сообщение >>

Описание шифровальщика-деструктора из статьи на сайте BI.ZONE >> 

Используется и распространяется антироссийской группой: Key Wolf (Key Wolf Group). 

Записка содержит предложение перевести деньги на Bitcoin-кошелек. 

Содержание записки от злоумышленников:
We are the keygroup777 ransomware we decided to help Ukraine destroy Russian computers, you can help us and transfer money to a bitcoin wallet ***
---

Этот вариант отслеживает в буфере обмена адреса вводимых bitcoin-кошельков и подменяет их на адрес кошелька злоумышленников. 

---

Файлы: Информирование зарегистрированных.hta и Информирование зарегистрированных.exe

➤ Особенности шифрования файлов:

Файлы с размером меньше 2117152 байт шифруются с помощью AES256‑CBC. Ключ и IV генерируются с помощью функции Rfc2898DeriveBytes с неким паролем и солью [1, 2, 3, 4, 5, 6, 7, 8]. Пароль имеет размер 20 байт, имеет чарсет abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890*!=&?&/ и генерируется с помощью стандартной функции Random(). После шифрования в файл записывается пароль в XML‑теге <EncryptedKey>, который зашифрован RSA1024‑OAEP и закодирован в Base64, после чего идет сам зашифрованный файл, закодированный в Base64.

Для файлов с размером ≥ 2117152 байт, но ≤ 200000000 байт размер файла делится на 4, и генерируется столько же случайных байт. Они помещаются в файл в таком же формате, как в первом случае, со случайным зашифрованным паролем, делая файл теоретически невосстановимым.

Для файлов с размером ≥ 200 000 000 байт генерируется случайное число байтов в промежутке от 200000000 до 300000000 байт и помещается в файл в таком же формате, как в первом случае, со случайным зашифрованным паролем, делая файл теоретически невосстановимым.

Вариант от 29 апреля 2023: 

Файл: fusk.exe

IOC: VT, IA: MD5: 7e1577b6e42d47b30ae597eee720d3b1

➤ Обнаружения: 

BitDefender -> IL:Trojan.MSILZilla.24983

DrWeb -> Trojan.Encoder.34437

ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A

Malwarebytes -> Generic.Malware.AI.DDS

Microsoft -> Ransom:MSIL/FileCoder.AD!MTB

Rising -> Ransom.Destructor!1.B060 (CLASSIC)

TrendMicro -> Ransom_FileCoder.R002C0CI123

Вариант от 24 июня 2023:

Файл: WARNEP.exe 

IOC: VT, IA: MD5: c2e1048e1e5130e36af297c73a83aff6

➤ Обнаружения: 

BitDefender -> IL:Trojan.MSILZilla.24983

DrWeb -> Trojan.Encoder.34437

ESET-NOD32 -> A Variant Of MSIL/Filecoder.Chaos.A

Malwarebytes -> Generic.Malware.AI.DDS

Microsoft -> Ransom:MSIL/FileCoder.AD!MTB

Rising -> Ransom.Destructor!1.B060 (CLASSIC)

TrendMicro -> Ransom.MSIL.CHAOS.SMRA14

Новость от 3 августа 2023:

EclecticIQ создали инструмент расшифровки (скрипт) для версии Key Group Ransomware от 3 августа 2023 года. 

"Key Group использует статический ключ N0dQM0I1JCM= в кодировке Base64 для шифрования данных жертв. Злоумышленник пытался повысить случайность зашифрованных данных, используя криптографический метод, называемый «солением». Соль была статической и использовалась для каждого процесса шифрования, что представляло собой существенный недостаток в процедуре шифрования. Эти ошибки помогли аналитикам создать инструмент расшифровки для этой конкретной версии программы-вымогателя Key Group. "

Статья на сайте EclecticIQ >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 EclecticIQ, BleepingComputer
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.