محققان با بهرهجویی از یک آسیبپذیری در باجافزار Key Group، ابزار رایگانی را عرضه کردهاند که امکان بازگرداندن فایلهای رمزگذاریشده توسط برخی نسخههای این باجافزار را فراهم میکند.
باجافزار Key Group از اوایل سال میلادی جاری شروع به فعالیت کرد. گردانندگان آن، با اجرای حملاتی هدفمند و نفوذ به شبکه سازمان قربانی، اقدام به سرقت فایلهای مهم و در ادامه رمزگذاری آنها میکنند.
به فایلهای رمزگذاریشده توسط این باجافزار، پسوند KEYGROUP777TG الصاق میشود.
مهاجمان Key Group، پس از رخنه به اولین ماشین، از فایلها و ابزارهای معتبر سیستم عامل نظیر wmic برای اجرای اموری همچون حذف رونوشتهای Volume Shadow بهره میگیرند. همچنین با درج نشانیهای جعلی در فایل Hosts دسترسی ضدویروس نصبشده بر روی دستگاه را به سرویسهای بهروزرسانی آن مسدود میکنند.
گردانندگان Key Group از کانالهای خصوصی Telegram بهمنظور مذاکره با قربانیان در خصوص میزان مبلغ باج استفاده میکنند.
جزییات بیشتر در خصوص Key Group و ابزار رمزگشای ارائهشده برای آن در لینک زیر قابل دسترس است:
فایلهای مخرب Key Group نیز با نامهای زیر قابل شناسایی است:
Bitdefender:
- IL:Trojan.MSILZilla.24983
- Ransom.Hiddentear.A.8B41BC41
- Neshta.A
- MSIL.Basic.3.Gen
Trellix:
- GenericRXPW-PH!C2E1048E1E51
- GenericRXPW-PH!7E1577B6E42D
- GenericRXRM-PA!1AC0C10947E0
- GenericRXPW-PH!604FD6351A04
- Artemis!09CE91B4F137
- W32/HLLP.41472.e