Функция восстановления зашифрованных Yanluowang данных была добавлена в утилиту ЛК RannohDecryptor.
https://www.securitylab.ru/upload/ib...8610aeeb9d.jpg
Специалистам «Лаборатории Касперского» удалось обнаружить уязвимость в алгоритме шифрования вымогательского ПО Yanluowang и благодаря ей найти способ восстановления зашифрованных файлов. Функция восстановления зашифрованных Yanluowang данных была добавлена в утилиту ЛК RannohDecryptor.
Для шифрования файлов больше 3 ГБ и меньше 3 ГБ вымогатель использует разные подходы. Большие шифруются в 5-мегабайтные полосы каждые 200 МБ, а меньшие шифруются полностью от начала до конца. Поэтому, если размер оригинального файла превышает 3 ГБ, можно расшифровать все файлы на зараженной системе. Однако если размер оригинального файла меньше 3 ГБ, то расшифровать можно только меньшие файлы.
Для восстановления файлов понадобится как минимум один оригинальный файл:
Для расшифровки небольших файлов (размером 3 ГБ и меньше) необходимы два файла размером 1024 байт или больше;
Для расшифровки больших файлов (размером более 3 ГБ) необходимы два файла (зашифрованный и оригинальный) размером не менее 3 ГБ каждый.
Другими словами, если у жертвы есть чистые копии некоторых зашифрованных файлов, она может воспользоваться обновленной утилитой Rannoh Decryptor и восстановить все остальные данные.
Вымогательское ПО Yanluowang было впервые обнаружено в октябре 2021 года. Оно использовалось в строго целенаправленных атаках нa высокопрофильные предприятия.
После развертывания в атакуемой сети Yanluowang останавливает виртуальные машины, завершает все процессы и шифрует файлы, добавляя расширение .yanluowang. Вымогатель также отображает записку README.txt, запрещающую жертвам обращаться в правоохранительные органы или компании-посредники для проведения переговоров.
В случае невыполнения условий вымогательская группировка угрожает жертве DDoS-атаками и обещает рассказать об утечке данных ее сотрудникам и бизнес-партнерам.