Зафиксирована новая угроза: группа Key Wolf распространяет среди российских пользователей вредоносную программу, запускающую шифрование файлов. Стоит отметить, злоумышленники делают это не ради выкупа. Наши эксперты первыми обнаружили распространение вредоноса. Рассказываем, как это работает и что делать

В рамках киберинцидента использовалось два вида вредоносных файлов. Они имели имена Информирование зарегистрированных.exe и Информирование зарегистрированных.hta и, предположительно, распространялись через электронную почту.

В первом случае файл представляет собой самораспаковывающийся архив, который содержит два файла — gUBmQx.exe и LICENSE.

Во втором случае файл gUBmQx.exe загружается с файлового обменника Zippyshare с использованием BITS (Background Intelligent Transfer Service).

Файл представляет собой программу-вымогателя Key Group, которая создана на основе другой вредоносной программы — Chaos. Информация о семействе программ-вымогателей Chaos впервые появилась на одном из популярных теневых форумов в июне 2021 года. Пользователь ryukRans опубликовал сообщение, в котором рассказал, что занимается разработкой программы-вымогателя, и даже разместил ссылку на GitHub (рис. 1).

За год было выпущено несколько версий билдера данной вредоносной программы, а уже в июне 2022 года была анонсирована так называемая партнерская программа, в контексте которой к сотрудничеству приглашались специалисты по тестированию на проникновение для организации атак на корпоративные сети (рис. 2).

Стоит отметить, что программа-вымогатель Key Group была создана с помощью билдера Chaos версии 4.0.

Анализ программы-вымогателя

После запуска Key Group осуществляет следующие действия:

• Проверяет, есть ли в списке процессов процесс с таким же именем. Если есть, останавливает свою работу.

• Если в конфигурации поле checkSleep является true, то, если директория запуска не является %APPDATA%, ожидает sleepTextbox секунд.

• Если в конфигурации поле checkAdminPrivilage является true, копирует себя в %APPDATA% и запускает от имени администратора, используя runas. Если операция отклонена пользователем (UAC), то функция запускается заново. Если названия совпадают и программа была запущена из %APPDATA%, функция ничего не делает (таким образом, нет бесконечной рекурсии при запуске).

• Если в конфигурации поле checkAdminPrivilage является false, но checkCopyRoaming является true, делает то же самое, что и при checkAdminPrivilage, но не повышает права с помощью runas.

• Если в конфигурации поле checkStartupFolder является true, то создает в %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup интернет-ссылку на вредоносный файл, что позволяет обеспечить ему автозагрузку.

• Если checkAdminPrivilage является true, то:

  • Если checkdeleteShadowCopies, удаляет теневые копии с помощью команды vssadmin delete shadows /all /quiet & wmic shadowcopy delete.

  • Если checkDisableRecoveryMode, выключает режим восстановления с помощью команды bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no.

  • Если checkdeleteBackupCatalog, удаляет все резервные копии с помощью команды wbadmin delete catalog -quiet.

• Если в конфигурации поле checkSpread является true, то копирует себя на все диски, кроме C, с именем файла, которое задается в конфигурации spreadName (в данном случае surprise.exe).

• Создает записку в %APPDATA%\<droppedMessageTextbox> и открывает ее. Записка содержит следующий текст:We are the keygroup777 ransomware we decided to help Ukraine destroy Russian computers, you can help us and transfer money to a bitcoin wallet <redacted>.

• Ставит на фон рабочего стола картинку, представленную ниже (рис. 3).

• Рекурсивно шифрует каждый диск, кроме C, а также следующие папки:

  • %USERPROFILE%\Desktop

  • %USERPROFILE%\Links

  • %USERPROFILE%\Contacts

  • %USERPROFILE%\Desktop

  • %USERPROFILE%\Documents

  • %USERPROFILE%\Downloads

  • %USERPROFILE%\Pictures

  • %USERPROFILE%\Music

  • %USERPROFILE%\OneDrive

  • %USERPROFILE%\Saved Games

  • %USERPROFILE%\Favourites

  • %USERPROFILE%\Searches

  • %USERPROFILE%\Videos

  • %APPDATA%

  • %PUBLIC%\Documents

  • %PUBLIC%\Pictures

  • %PUBLIC%\Music

  • %PUBLIC%\Videos

  • %PUBLIC%\Desktop

Для каждого файла в директории проверяется, имеет ли он одно из корректных расширений и не является ли запиской. Далее работа зависит от размера файла:

• Размер файла меньше 2 117 152 байт. Тогда содержимое файла шифруется с помощью AES256-CBC. Ключ и IV генерируются с помощью функции Rfc2898DeriveBytes с неким паролем и солью [1, 2, 3, 4, 5, 6, 7, 8]. Пароль, в свою очередь, имеет размер 20 байт, имеет чарсет abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890*!=&?&/ и генерируется с помощью стандартной функции Random(). После шифрования в файл записывается пароль в XML-теге <EncryptedKey>, который зашифрован RSA1024-OAEP и закодирован в Base64, после чего идет сам зашифрованный файл, закодированный в Base64.

• Размер файла больше или равен 2 117 152 байтам, но меньше или равен 200 000 000 байтам. Генерируется размер / 4 случайных байта и помещаются в файл в таком же формате, как в первом случае, со случайным зашифрованным паролем, делая файл теоретически невосстанавливаемым.

• Размер файла больше 200 000 000 байт. Генерируется случайное число байтов в промежутке от 200 000 000 до 300 000 000 и помещается в файл в таком же формате, как в первом случае, со случайным зашифрованным паролем, делая файл теоретически невосстанавливаемым.

Если в директории есть поддиректории, для каждой из них выполняется такая же операция.

Также программа-вымогатель имеет дополнительную функциональность: она проверяет, находится ли в буфере обмена bitcoin-адрес, и подменяет его на один из принадлежащих злоумышленникам.

Индикаторы компрометации и детектирующие правила доступны клиентам BI.ZONE ThreatVision.

Как защититься от таких вредоносов

Программы-вымогатели обычно распространяются через почту. Предотвратить атаки с их участием помогут специализированные решения, которые не позволят вредоносному письму достичь почтового ящика пользователя.

Одно из таких решений — сервис BI.ZONE CESP. Он избавляет компании от проблемы нелегитимных писем, инспектируя каждое электронное сообщение. У сервиса под капотом — больше 600 механизмов фильтрации на базе машинного обучения, статистического, сигнатурного и эвристического анализа. Такая проверка не задерживает доставку безопасных писем.