Η Kaspersky αποκάλυψε σήμερα ότι βρήκε μια ευπάθεια στον αλγόριθμο encryption του Yanluowang ransomware, που καθιστά δυνατή την ανάκτηση αρχείων που κρυπτογραφεί.
Το Yanluowang είναι ένας τύπος στοχευμένου ransomware που ανακαλύφθηκε από την ομάδα της Symantec Threat Hunter καθώς ερευνούσαν ένα περιστατικό σε ένα μεγάλο εταιρικό δίκτυο.
Δείτε επίσης: Fake αναβάθμιση των Windows 11 εγκαθιστά κακόβουλο λογισμικό
Η ρωσική εταιρεία κυβερνοασφάλειας πρόσθεσε στο βοηθητικό πρόγραμμα RannohDecryptor υποστήριξη για την αποκρυπτογράφηση αρχείων που είναι κλειδωμένα από το στέλεχος ransomware Yanluowang.
«Οι ειδικοί της Kaspersky ανέλυσαν το ransomware και βρήκαν μια ευπάθεια που επιτρέπει την αποκρυπτογράφηση αρχείων των επηρεαζόμενων χρηστών μέσω μιας επίθεσης known-plaintext», δήλωσε η εταιρεία σήμερα.
Αυτό το στέλεχος ransomware κρυπτογραφεί αρχεία μεγαλύτερα από 3 GB και μικρότερα από 3 GB χρησιμοποιώντας διαφορετικές μεθόδους: τα μεγαλύτερα κρυπτογραφούνται μερικώς σε 5MB stripes μετά από κάθε 200 MB, ενώ τα μικρότερα κρυπτογραφούνται εξ ολοκλήρου από την αρχή μέχρι το τέλος.
Εξαιτίας αυτού, “εάν το αρχικό αρχείο είναι μεγαλύτερο από 3 GB, είναι δυνατό να αποκρυπτογραφηθούν όλα τα αρχεία στο μολυσμένο σύστημα, τόσο μεγάλα όσο και μικρά. Αλλά εάν υπάρχει ένα αρχικό αρχείο μικρότερο από 3 GB, τότε μόνο μικρά αρχεία μπορούν να αποκρυπτογραφηθούν».
Δείτε επίσης: iPhone: Exploit μηδενικού κλικ χρησιμοποιείται σε επιθέσεις spyware NSO
Για να αποκρυπτογραφήσετε τα αρχεία σας, χρειάζεστε τουλάχιστον ένα από τα αρχικά αρχεία:
- Για να αποκρυπτογραφήσετε μικρά αρχεία (λιγότερα ή ίσα με 3 GB), χρειάζεστε ένα ζεύγος αρχείων με μέγεθος 1024 byte ή περισσότερο. Αυτό είναι αρκετό για την αποκρυπτογράφηση όλων των άλλων μικρών αρχείων.
- Για να αποκρυπτογραφήσετε μεγάλα αρχεία (περισσότερα από 3 GB), χρειάζεστε ένα ζεύγος αρχείων (κρυπτογραφημένα και πρωτότυπα) μεγέθους τουλάχιστον 3 GB το καθένα. Αυτό θα είναι αρκετό για την αποκρυπτογράφηση τόσο μεγάλων όσο και μικρών αρχείων.
Για να αποκρυπτογραφήσετε αρχεία που έχουν κρυπτογραφηθεί από το Yanluowang ransomware, πρέπει να χρησιμοποιήσετε το εργαλείο decryption Rannoh που είναι διαθέσιμο για λήψη από τους Kaspersky servers.
Η Yanluowang επιτίθεται σε εταιρικούς στόχους υψηλού προφίλ
Το Yanluowang ransomware, το οποίο εντοπίστηκε για πρώτη φορά τον Οκτώβριο του 2021, έχει χρησιμοποιηθεί σε ανθρώπινες, εξαιρετικά στοχευμένες επιθέσεις εναντίον επιχειρηματικών οντοτήτων.
Ένα μήνα αργότερα, ένας από τους affiliates τους παρατηρήθηκε να επιτίθεται σε αμερικανικούς οργανισμούς στον χρηματοπιστωτικό τομέα τουλάχιστον από τον Αύγουστο, χρησιμοποιώντας το BazarLoader malware για αναγνώριση.
Με βάση τις τακτικές, τις τεχνικές και τις διαδικασίες (TTPs) που χρησιμοποιούνται σε αυτές τις επιθέσεις, αυτό το Yanluowang affiliate συνδέθηκε με τη λειτουργία ransomware Thieflock που αναπτύχθηκε από την ομάδα Fivehands (που παρακολουθείται από τη Mandiant ως UNC2447).
Μόλις αναπτυχθεί σε παραβιασμένα δίκτυα, το Yanluowang σταματά τις εικονικές μηχανές hypervisor, τερματίζει όλες τις διαδικασίες και κρυπτογραφεί τα αρχεία προσαρτώντας την επέκταση .yanluowang.
Επίσης, εμφανίζει notes λύτρων με το όνομα README.txt που προειδοποιούν τα θύματα να μην επικοινωνούν με τις αρχές επιβολής του νόμου ή να μην ζητούν βοήθεια από εταιρείες διαπραγμάτευσης λύτρων.
Δείτε επίσης: Pixel 6 bug: Απορρίπτονται αυτόματα ορισμένες κλήσεις εν αγνοία σας
Εάν τα αιτήματα των εισβολέων δεν ικανοποιηθούν, οι χειριστές ransomware απειλούν να εξαπολύσουν επιθέσεις distributed denial of service (DDoS) κατά των δικτύων των θυμάτων και να ενημερώσουν τους υπαλλήλους και τους επιχειρηματικούς εταίρους τους ότι παραβιάστηκαν.
Λένε επίσης ότι θα παραβιάσουν ξανά τα δίκτυα των θυμάτων “σε λίγες εβδομάδες” και θα διαγράψουν τα δεδομένα τους, μια κοινή τακτική που χρησιμοποιούν οι συμμορίες ransomware για να πιέσουν τα θύματά τους να πληρώσουν τα λύτρα.
Πηγή πληροφοριών: bleepingcomputer.com
