انتشار ابزار رمزگشایی رایگان برای قربانیان باج‌افزار Yanluowang
کد مطلب: 19016
تاریخ انتشار : سه شنبه ۲۰ ارديبهشت ۱۴۰۱ ساعت ۰۹:۰۲
 
محققان کسپرسکی در پی تحلیل باج‌افزار Yanluowang، موفق به شناسایی یک نقطه‌ضعف در الگوریتم رمزگذاری آن شده‌اند که بازیابی فایل‌های رمزگذاری شده توسط این باج‌افزار را امکان‌پذیر می‌سازد.
انتشار ابزار رمزگشایی رایگان برای قربانیان باج‌افزار Yanluowang
 
 
Share/Save/Bookmark
محققان کسپرسکی در پی تحلیل باج‌افزار Yanluowang، موفق به شناسایی یک نقطه‌ضعف در الگوریتم رمزگذاری آن شده‌اند که بازیابی فایل‌های رمزگذاری شده توسط این باج‌افزار را امکان‌پذیر می‌سازد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کسپرسکی برای رمزگشایی فایل‌های قفل‌شده توسط باج‌افزار Yanluowang، قابلیت‌هایی را به ابزار RannohDecryptor خود اضافه کرده است.

این باج‌افزار، فایل‌های کوچک‌تر و یا بزرگ‌تر از ۳ گیگابایت را به روش‌های متفاوت رمزگذاری می‌کند. فایل‌های بزرگ‌تر از ۳ گیگابایت، بعد از هر ۲۰۰ مگابایت، فقط در قطعات ۵ مگابایتی رمزگذاری می‌شوند، درحالی‌که فایل‌های کوچک‌تر به‌صورت کامل از ابتدا تا انتها رمزگذاری می‌شوند. به همین دلیل، اگر فایل اصلی بزرگ‌تر از ۳ گیگابایت باشد، امکان رمزگشایی همه فایل‌های موجود در آن سیستم آلوده، اعم از بزرگ و کوچک وجود دارد؛ اما اگر یک فایل اصلی کوچک‌تر از ۳ گیگابایت باشد، فقط فایل‌های کوچک آن سیستم را می‌توان رمزگشایی کرد.

برای رمزگشایی فایل‌ها، حداقل به یکی از فایل‌های اصلی نیاز است:
برای رمزگشایی فایل‌های کوچک (کمتر یا مساوی ۳ گیگابایت)، یک جفت فایل (رمزگذاری شده و اصلی) با حجم ۱۰۲۴ بایت یا بیشتر موردنیاز است. این برای رمزگشایی تمام فایل‌های کوچک دیگر کافی است.

برای رمزگشایی فایل‌های بزرگ (بیش از ۳ گیگابایت)، به یک جفت فایل (رمزگذاری شده و اصلی) با حجم کمتر از ۳ گیگابایت نیاز است و این برای رمزگشایی فایل‌های بزرگ و کوچک کافی است.

برای رمزگشایی فایل‌های رمزگذاری شده توسط باج‌افزار Yanluowang، می‌توان ابزار رمزگشایی RannohDecryptor را از نشانی‌های زیر دریافت کرد:
https://noransom.kaspersky.com/
https://support.kaspersky.com/۸۵۴۷

باج‌افزار Yanluowang که برای اولین‌بار در آبان ۱۴۰۰ شناسایی شد، در حملات هدایت‌شده به‌طور دستی و بسیار هدفمند علیه سازمان‌های مختلف به کار گرفته‌شده است.

یک ماه پس از شناسایی باج‌افزار Yanluowang توسط محققان، شاخه‌ای از گروه این باج افزار، از بدافزار BazarLoader برای شناسایی سازمان‌هایی در حوزه مالی در آمریکا استفاده کرده و آن‌ها را هدف قرار دادند.

بر اساس روش‌ها و رویه‌های مشاهده‌شده، این شاخه از گروه باج‌افزاری Yanluowang از خدمات موسوم به "باج‌افزار به‌عنوان سرویس" (Ransomware-as-a-Service – به‌اختصار RaaS) استفاده می‌کنند و ممکن است با باج‌افزار Thieflock در ارتباط باشند که توسط گروه Fivehands توسعه‌یافته است.

پس از استقرار Yanluowang در شبکه قربانیان، این باج‌افزار تمام ماشین‌های مجازی Hypervisor موجود و در حال اجرا بر روی کامپیوتر آلوده را متوقف می‌کند و به تمام پروسه‌ها خاتمه می‌دهد. سپس فایل‌های روی کامپیوتر آلوده را رمزگذاری کرده و به انتهای هر فایل، پسوند.yanluowang را اضافه می‌کند.

همچنین فایل README.txt حاوی اطلاعیه باج‌گیری (Ransome Note) را روی کامپیوتر آلوده قرار می‌دهد. در اطلاعیه باج‌گیری مهاجمان هشدار داده‌اند که قربانی به نهادهای قانونی مراجعه نکند یا از شرکت‌های مذاکره‌کننده در زمینه باج‌افزار درخواست کمک نکند.
مهاجمان همچنین اعلام کرده‌اند که چنانچه قربانی از درخواست آن‌ها اطاعت نکند، اقدام به اجرای حملات ازکارانداختن سرویس (Denial-of-Service)، تماس با شرکای تجاری آنان و ازبین‌بردن داده‌ها خواهند کرد. آن‌ها همچنین تهدید می‌کنند که در چند هفته آینده دوباره به شبکه قربانی نفوذ کرده و داده‌های آن‌ها را حذف خواهند کرد. ترفند رایجی که مهاجمان باج‌افزاری از آن برای تحت‌فشار گذاشتن قربانیان خود جهت پرداخت باج استفاده می‌کنند.

جزئیات بیشتر در خصوص باج‌افزار Yanluowang، نشانه‌های آلودگی (Indicators of Compromise – به‌اختصار IoC)، ابزارها و بدافزارهای مورداستفاده در حملات یادشده و نحوه رمزگشایی، در نشانی‌های زیر قابل دریافت و مطالعه است:
https://newsroom.shabakeh.net/۲۲۸۵۳/yanluowang-ransomware-operation-matures-with-experienced-affiliates.html
https://securelist.com/how-to-recover-files-encrypted-by-yanlouwang/۱۰۶۳۳۲/
مرجع : مرکز مدیریت راهبردی افتا