Специалисты «Лаборатории Касперского» создали бесплатный инструмент, который позволяет восстанавливать доступ к файлам, зашифрованным малварью Yanluowang.
Вымогатель Yanlouwang был обнаружен в октябре 2021 года и использовалась в атаках на компании во многих странах, включая США, Турцию и Бразилию.
Эксперты рассказывают, что в процессе атаки злоумышленники обычно вручную запускают процесс шифрования файлов, в ходе которого расширения последних меняются на .yanlouwang*. Затем они оставляют записку с требованиями, где угрожают, что, если жертва обратится в полицию, все файлы на зараженном устройстве будут удалены, на компанию обрушится DDoS-атака, и через несколько недель атака с удалением файлов повторится.
«В настоящее время Yanluowang еще не очень широко распространен, но не стоит его недооценивать. Шифровальщики продолжают оставаться одной из основных киберугроз по всему миру, поэтому важно объединять усилия экспертов по кибербезопасности для борьбы с ними. Мы уверены, что разработанный нами инструмент поможет компаниям, атакованным Yanlouwang», — комментирует Янис Зинченко, эксперт по кибербезопасности «Лаборатории Касперского».
В техническом отчете исследователи «Лаборатории Касперского» рассказывают, что им удалось обнаружить уязвимость в коде малвари, которая позволяет расшифровать файлы на зараженной машине. Баг позволил расшифровать файлы с использованием атаки типа known-plaintext.
Поскольку Yanluowang по-разному шифрует файлы менее и более 3 Гб, эксперты определили обязательные условия для успешной расшифровки. Так, пользователю понадобятся один или несколько оригинальных файлов:
- пара файлов (зашифрованный и оригинал) размером от 1024 байт для расшифровки файлов менее 3 Гб. Этого вполне достаточно для расшифровки других небольших файлов;
- пара файлов (зашифрованный и оригинал) размером от 3 Гб для расшифровки файлов более 3 Гб. С их помощью можно будет расшифровать файлы любого размера;
То есть, имея оригинальный файл размером более 3 Гб, удастся расшифровать вообще все файлы в зараженной системе. Если же все доступные оригинальные файлы маленькие, то есть имеют размер менее 3 Гб, то расшифровать получится только другие файлы менее 3 Гб.