Descifrador Del Ransomware Yanluowang
El ecosistema del mundo ransomware está tan poblado como cualquier selva tropical de insectos enormes y que, salvo que seas entomólogo, dan bastante miedo. En el mismo podemos encontrar desde grupos muy conocidos a nivel internacional, hasta pequeños operadores "independientes" que compensan la falta de recursos con pericia y dedicación. Y es normal, pues el ransomware se ha convertido en una de las modalidades más rentables de la ciberdelincuencia.
Y este es el caso de Yanluowang, un ransomware detectado por primera vez a finales del año pasado, y que se emplea en ataques dirigidos a grandes empresas. De momento, las víctimas afectadas por Yanluowang se concentran en Brasil, Estados Unidos y Turquía. Y una particularidad es que el software es controlado, de manera remota, manualmente, puesto que no se han automatizado sus procesos. Esto puede señalar ataques muy, muy personalizados, que por definición cuentan con una mayor probabilidad de éxito.
La buena noticia es que, tras analizarlo, Kaspersky ha logrado encontrar una solución para recuperar la información cifrada por Yanluowang. Es necesario, eso sí, contar con una copia "limpia" de alguno de los archivos afectados por el ataque. Esto nos permite deducir que la técnica de descifrado es capaz de obtener toda la información necesaria por comparación de los archivos cifrados y sus versiones limpias, y que en base a la información obtenida con dicho análisis, ya es capaz de descifrar el resto de archivos.
Quienes se hayan visto afectados por Yanluowang, hayan optado por no pagar el rescate y, en consecuencia, no hayan podido recuperar sus archivos, pueden emplear Rannoh Decryptor, una herramienta gratuita de Kaspersky, que forma parte de su colección de descifradores de ransomware gratuitos, y que en su última actualización ha añadido los elementos necesarios para poder aprovechar la debilidad detectada en el sistema de cifrado de este ransomware.
"Yanluowang corrompe los archivos de forma ligeramente diferente según su tamaño. Cifra los archivos pequeños (menos de 3 GB) por completo y los grandes parcialmente. Por lo tanto, su descifrado requiere archivos limpios de diferentes tamaños. Para archivos de menos de 3GB, basta con tener el original y una versión cifrada del archivo de un tamaño de 1024 bytes o superior. Sin embargo, para recuperar archivos de más de 3 GB, se necesitan archivos originales del tamaño adecuado. Eso sí, si encuentras un archivo limpio de más de 3 GB, generalmente será posible recuperar toda la información afectada".
Fuente: Muy Seguridad
Via: blog.segu-info.com.ar