به گزارش مرکز مدیریت راهبردی افتا، کسپرسکی برای رمزگشایی فایلهای قفلشده توسط باجافزار Yanluowang، قابلیتهایی را به ابزار RannohDecryptor خود اضافه کرده است.
این باجافزار، فایلهای کوچکتر و یا بزرگتر از 3 گیگابایت را به روشهای متفاوت رمزگذاری میکند. فایلهای بزرگتر از 3 گیگابایت، بعد از هر 200 مگابایت، فقط در قطعات 5 مگابایتی رمزگذاری میشوند، درحالیکه فایلهای کوچکتر بهصورت کامل از ابتدا تا انتها رمزگذاری میشوند. به همین دلیل، اگر فایل اصلی بزرگتر از 3 گیگابایت باشد، امکان رمزگشایی همه فایلهای موجود در آن سیستم آلوده، اعم از بزرگ و کوچک وجود دارد؛ اما اگر یک فایل اصلی کوچکتر از 3 گیگابایت باشد، فقط فایلهای کوچک آن سیستم را میتوان رمزگشایی کرد.
برای رمزگشایی فایلها، حداقل به یکی از فایلهای اصلی نیاز است:
برای رمزگشایی فایلهای کوچک (کمتر یا مساوی 3 گیگابایت)، یک جفت فایل (رمزگذاری شده و اصلی) با حجم 1024 بایت یا بیشتر موردنیاز است. این برای رمزگشایی تمام فایلهای کوچک دیگر کافی است.
برای رمزگشایی فایلهای بزرگ (بیش از 3 گیگابایت)، به یک جفت فایل (رمزگذاری شده و اصلی) با حجم کمتر از 3 گیگابایت نیاز است و این برای رمزگشایی فایلهای بزرگ و کوچک کافی است.
برای رمزگشایی فایلهای رمزگذاری شده توسط باجافزار Yanluowang، میتوان ابزار رمزگشایی RannohDecryptor را از نشانیهای زیر دریافت کرد:
https://noransom.kaspersky.com/
https://support.kaspersky.com/8547
باجافزار Yanluowang که برای اولینبار در آبان 1400 شناسایی شد، در حملات هدایتشده بهطور دستی و بسیار هدفمند علیه سازمانهای مختلف به کار گرفتهشده است.
یک ماه پس از شناسایی باجافزار Yanluowang توسط محققان، شاخهای از گروه این باج افزار، از بدافزار BazarLoader برای شناسایی سازمانهایی در حوزه مالی در آمریکا استفاده کرده و آنها را هدف قرار دادند.
بر اساس روشها و رویههای مشاهدهشده، این شاخه از گروه باجافزاری Yanluowang از خدمات موسوم به "باجافزار بهعنوان سرویس" (Ransomware-as-a-Service – بهاختصار RaaS) استفاده میکنند و ممکن است با باجافزار Thieflock در ارتباط باشند که توسط گروه Fivehands توسعهیافته است.
پس از استقرار Yanluowang در شبکه قربانیان، این باجافزار تمام ماشینهای مجازی Hypervisor موجود و در حال اجرا بر روی کامپیوتر آلوده را متوقف میکند و به تمام پروسهها خاتمه میدهد. سپس فایلهای روی کامپیوتر آلوده را رمزگذاری کرده و به انتهای هر فایل، پسوند.yanluowang را اضافه میکند.
همچنین فایل README.txt حاوی اطلاعیه باجگیری (Ransome Note) را روی کامپیوتر آلوده قرار میدهد. در اطلاعیه باجگیری مهاجمان هشدار دادهاند که قربانی به نهادهای قانونی مراجعه نکند یا از شرکتهای مذاکرهکننده در زمینه باجافزار درخواست کمک نکند.
مهاجمان همچنین اعلام کردهاند که چنانچه قربانی از درخواست آنها اطاعت نکند، اقدام به اجرای حملات ازکارانداختن سرویس (Denial-of-Service)، تماس با شرکای تجاری آنان و ازبینبردن دادهها خواهند کرد. آنها همچنین تهدید میکنند که در چند هفته آینده دوباره به شبکه قربانی نفوذ کرده و دادههای آنها را حذف خواهند کرد. ترفند رایجی که مهاجمان باجافزاری از آن برای تحتفشار گذاشتن قربانیان خود جهت پرداخت باج استفاده میکنند.
جزئیات بیشتر در خصوص باجافزار Yanluowang، نشانههای آلودگی (Indicators of Compromise – بهاختصار IoC)، ابزارها و بدافزارهای مورداستفاده در حملات یادشده و نحوه رمزگشایی، در نشانیهای زیر قابل دریافت و مطالعه است:
https://newsroom.shabakeh.net/22853/yanluowang-ransomware-operation-matures-with-experienced-affiliates.html
https://securelist.com/how-to-recover-files-encrypted-by-yanlouwang/106332/
منابع:
https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-yanluowang-ransomware-victims/
https://securityaffairs.co/wordpress/130369/malware/yanluowang-ransomware-free-decryptor.html
(با تشکر از شرکت مهندسی شبکهگستر برای همکاری در تهیه این گزارش)