Narzędzie deszyfrujące dla Yanluowang

Nasi analitycy narzędzi służących do szyfrowania plików znaleźli sposób na przywrócenie tych, które zostały zablokowane przez program Yanluowang.

Zwykle radzimy ofiarom ransomware, aby nie rozpaczały i nie usuwały żadnych plików — nawet jeśli nie można ich przywrócić od razu. Kierujemy się zasadą, że pewnego dnia infrastrukturę atakujących może przejąć policja lub badacze odkryją w algorytmach danego szkodliwego oprogramowania błędy. Dobrym przykładem jest tu przeprowadzona przez firmę Kaspersky analiza ransomware o nazwie Yanluowang. Nasi eksperci znaleźli lukę w zabezpieczeniach, która w pewnych okolicznościach umożliwia odzyskiwanie plików bez posiadania klucza.

Jak odszyfrować pliki zaszyfrowane przez Yanluowang?

Wspomniana luka w szkodliwym oprogramowaniu Yanluowang umożliwia odszyfrowanie plików za pomocą znanego ataku wykorzystującego zwykły tekst. Metoda ta pokonuje algorytm szyfrowania, jeśli dostępne są dwie wersje tego samego tekstu: jedna czysta i jedna zaszyfrowana. Jeśli więc ofiara posiada czyste kopie jakichś zaszyfrowanych plików lub wie, skąd je zdobyć, nasz ulepszony deszyfrator Rannoh może je przeanalizować i odzyskać pozostałe dane.

Jest tu jednak jeden szkopuł: Yanluowang uszkadza pliki nieco inaczej w zależności od ich rozmiaru: małe pliki (mniej niż 3 GB) szyfruje całkowicie, a duże częściowo. Tak więc ich odszyfrowanie wymaga posiadania czystych plików o różnych rozmiarach. W przypadku plików mniejszych niż 3 GB wystarczy mieć oryginalną i zaszyfrowaną wersję pliku o rozmiarze 1024 bajtów lub większym. Aby odzyskać pliki większe niż 3 GB, potrzebne są jednak oryginalne pliki o odpowiednim rozmiarze. Jeśli masz czysty plik większy niż 3 GB, prawdopodobnie możliwe będzie odzyskanie wszystkich zajętych danych.

Czym jest Yanluowang i dlaczego stwarza zagrożenie?

Yanluowang to stosunkowo nowe oprogramowanie ransomware, którego nieznane jeszcze osoby używają do atakowania dużych firm. Pierwsze informacje o nim pojawiły się pod koniec ubiegłego roku. Aby uruchomić proces szyfrowania, szkodliwy program musi otrzymać odpowiednie argumenty, co sugeruje, że operator kontroluje atak ręcznie. Do tej pory ofiarami Yanluowang były firmy w Stanach Zjednoczonych, Brazylii i Turcji.

Aby uzyskać szczegółowe informacje techniczne na temat oprogramowania Yanluowang, a także poznać wskaźniki włamania, przeczytaj nasz post w serwisie SecureList.

Jak zapewnić sobie ochronę przed oprogramowaniem przed Yanluowang?

Aby uzyskać podstawową ochronę przed oprogramowaniem ransomware, postępuj zgodnie z naszym standardowym zestawem wskazówek: zawsze aktualizuj oprogramowanie, zapisuj kopie zapasowe danych w magazynie offline, zorganizuj dla pracowników podstawowe szkolenie w zakresie cyberbezpieczeństwa, a na wszystkich urządzeniach łączących się z internetem zainstaluj odpowiednią ochronę przed oprogramowaniem ransomware.

Jednak nie można zapominać również o atakach ukierunkowanych, a nawet sterowanych ręcznie. Z tego względu warto stosować kompleksowe podejście do bezpieczeństwa. Nasi eksperci dodatkowo zalecają więc, aby:

  • monitorować ruch wychodzący w celu szybkiego wykrywania podejrzanych połączeń,
  • regularnie przeprowadzać audyty cyberbezpieczeństwa,
  • dostarczać pracownikom centrum operacji związanych z bezpieczeństwem aktualnych danych o cyberzagrożeniach,
  • w  razie potrzeby zaangażować ekspertów zewnętrznych.
Porady