Ακόμη και οι διαχειριστές των ransomware κάνουν λάθη, και στην περίπτωση της ομάδας του ransomware the Key Group, ένα κρυπτογραφικό σφάλμα επέτρεψε σε μια ομάδα ερευνητών ασφάλειας να αναπτύξουν και να κυκλοφορήσουν ένα εργαλείο αποκρυπτογράφησης για την επαναφορά των κωδικοποιημένων αρχείων.
Ο αποκρυπτογραφητής λειτουργεί όμως μόνο για μια συγκεκριμένη έκδοση του ransomware που κατασκευάστηκε γύρω στις 3 Αυγούστου, σύμφωνα με την ομάδα ασφαλείας της intel, EclecticIQ, που εντόπισε τα λάθη των προγραμματιστών του κακόβουλου λογισμικού και τα εκμεταλλεύτηκε για να αναπτύξει ένα εργαλείο αποκατάστασης χρησιμοποιώντας την Python.
Είναι διαθέσιμο δωρεάν: Η ομάδα EclecticIQ δημοσίευσε ένα script Python την Πέμπτη σε μια αναφορά για τη ρωσόφωνη συμμορία. Διαβάστε τις λεπτομέρειες προς τα κάτω στο Παράρτημα Α για το έξυπνο script.
Εάν είστε θύμα του ransomware της Key Group, σας προτείνουμε να διαβάσετε καλά τις οδηγίες. Αν είστε τυχεροί η συμμορία δεν θα καταλάβει ότι κυκλοφορεί το εργαλείο αποκρυπτογράφησης και δεν θα ξαναγράψει το κακόβουλο λογισμικό της.
“Το ransomware της Key Group χρησιμοποιεί κρυπτογράφηση AES, που εφαρμόζεται σε C#, χρησιμοποιώντας την κλάση RijndaelManaged, η οποία είναι ένας συμμετρικός αλγόριθμος κρυπτογράφησης”, αναφέρει ο ερευνητής της EclecticIQ Arda Büyükkaya.
Κρυπτογραφεί τα δεδομένα των θυμάτων χρησιμοποιώντας AES σε CBC mode χρησιμοποιώντας ένα fixed password με fixed salt, ανέφερε ο Büyükkaya. Εδώ λοιπόν είναι που τα χάλασε η συμμορία: στο fixed password με το fixed salt. Αυτό καθιστά πολύ εύκολο να γραφεί μια ρουτίνα αποκρυπτογράφησης για τα αρχεία κρυπτογραφηθεί.
“Το ransomware χρησιμοποιεί το ίδιο στατικό κλειδί AES και το ίδιο διάνυσμα προετοιμασίας (IV από το initialization vector) για την αναδρομική κρυπτογράφηση των δεδομένων του θύματος και την αλλαγή του ονόματος των κρυπτογραφημένων αρχείων με την επέκταση keygroup777tg”, ανέφερε ο Büyükkaya.