Для жертв вымогательского ПО Yanluowang выпущен бесплатный декриптор

Специалистам «Лаборатории Касперского» удалось обнаружить уязвимость в алгоритме шифрования вымогательского ПО Yanluowang и благодаря ей найти способ восстановления зашифрованных файлов. Функция восстановления зашифрованных Yanluowang данных была добавлена в утилиту ЛК RannohDecryptor.

Для шифрования файлов больше 3 ГБ и меньше 3 ГБ вымогатель использует разные подходы. Большие шифруются в 5-мегабайтные полосы каждые 200 МБ, а меньшие шифруются полностью от начала до конца. Поэтому, если размер оригинального файла превышает 3 ГБ, можно расшифровать все файлы на зараженной системе. Однако если размер оригинального файла меньше 3 ГБ, то расшифровать можно только меньшие файлы.

Для восстановления файлов понадобится как минимум один оригинальный файл:

Для расшифровки небольших файлов (размером 3 ГБ и меньше) необходимы два файла размером 1024 байт или больше;

Для расшифровки больших файлов (размером более 3 ГБ) необходимы два файла (зашифрованный и оригинальный) размером не менее 3 ГБ каждый.

Другими словами, если у жертвы есть чистые копии некоторых зашифрованных файлов, она может воспользоваться обновленной утилитой Rannoh Decryptor и восстановить все остальные данные.

Вымогательское ПО Yanluowang было впервые обнаружено в октябре 2021 года. Оно использовалось в строго целенаправленных атаках нa высокопрофильные предприятия.

После развертывания в атакуемой сети Yanluowang останавливает виртуальные машины, завершает все процессы и шифрует файлы, добавляя расширение .yanluowang. Вымогатель также отображает записку README.txt, запрещающую жертвам обращаться в правоохранительные органы или компании-посредники для проведения переговоров.

В случае невыполнения условий вымогательская группировка угрожает жертве DDoS-атаками и обещает рассказать об утечке данных ее сотрудникам и бизнес-партнерам.