محققان کسپرسکی در پی تحلیل باجافزار Yanluowang، موفق به شناسایی یک نقطهضعف در الگوریتم رمزگذاری آن شدهاند که بازیابی فایلهای رمزگذاری شده توسط این باجافزار را امکانپذیر میسازد.
انتشار ابزار رمزگشایی رایگان برای قربانیان باجافزار Yanluowang
مرکز مدیریت راهبردی افتا , 20 ارديبهشت 1401 ساعت 9:02
محققان کسپرسکی در پی تحلیل باجافزار Yanluowang، موفق به شناسایی یک نقطهضعف در الگوریتم رمزگذاری آن شدهاند که بازیابی فایلهای رمزگذاری شده توسط این باجافزار را امکانپذیر میسازد.
محققان کسپرسکی در پی تحلیل باجافزار Yanluowang، موفق به شناسایی یک نقطهضعف در الگوریتم رمزگذاری آن شدهاند که بازیابی فایلهای رمزگذاری شده توسط این باجافزار را امکانپذیر میسازد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کسپرسکی برای رمزگشایی فایلهای قفلشده توسط باجافزار Yanluowang، قابلیتهایی را به ابزار RannohDecryptor خود اضافه کرده است.
این باجافزار، فایلهای کوچکتر و یا بزرگتر از ۳ گیگابایت را به روشهای متفاوت رمزگذاری میکند. فایلهای بزرگتر از ۳ گیگابایت، بعد از هر ۲۰۰ مگابایت، فقط در قطعات ۵ مگابایتی رمزگذاری میشوند، درحالیکه فایلهای کوچکتر بهصورت کامل از ابتدا تا انتها رمزگذاری میشوند. به همین دلیل، اگر فایل اصلی بزرگتر از ۳ گیگابایت باشد، امکان رمزگشایی همه فایلهای موجود در آن سیستم آلوده، اعم از بزرگ و کوچک وجود دارد؛ اما اگر یک فایل اصلی کوچکتر از ۳ گیگابایت باشد، فقط فایلهای کوچک آن سیستم را میتوان رمزگشایی کرد.
برای رمزگشایی فایلها، حداقل به یکی از فایلهای اصلی نیاز است:
برای رمزگشایی فایلهای کوچک (کمتر یا مساوی ۳ گیگابایت)، یک جفت فایل (رمزگذاری شده و اصلی) با حجم ۱۰۲۴ بایت یا بیشتر موردنیاز است. این برای رمزگشایی تمام فایلهای کوچک دیگر کافی است.
برای رمزگشایی فایلهای بزرگ (بیش از ۳ گیگابایت)، به یک جفت فایل (رمزگذاری شده و اصلی) با حجم کمتر از ۳ گیگابایت نیاز است و این برای رمزگشایی فایلهای بزرگ و کوچک کافی است.
برای رمزگشایی فایلهای رمزگذاری شده توسط باجافزار Yanluowang، میتوان ابزار رمزگشایی RannohDecryptor را از نشانیهای زیر دریافت کرد:
https://noransom.kaspersky.com/
https://support.kaspersky.com/۸۵۴۷
باجافزار Yanluowang که برای اولینبار در آبان ۱۴۰۰ شناسایی شد، در حملات هدایتشده بهطور دستی و بسیار هدفمند علیه سازمانهای مختلف به کار گرفتهشده است.
یک ماه پس از شناسایی باجافزار Yanluowang توسط محققان، شاخهای از گروه این باج افزار، از بدافزار BazarLoader برای شناسایی سازمانهایی در حوزه مالی در آمریکا استفاده کرده و آنها را هدف قرار دادند.
بر اساس روشها و رویههای مشاهدهشده، این شاخه از گروه باجافزاری Yanluowang از خدمات موسوم به "باجافزار بهعنوان سرویس" (Ransomware-as-a-Service – بهاختصار RaaS) استفاده میکنند و ممکن است با باجافزار Thieflock در ارتباط باشند که توسط گروه Fivehands توسعهیافته است.
پس از استقرار Yanluowang در شبکه قربانیان، این باجافزار تمام ماشینهای مجازی Hypervisor موجود و در حال اجرا بر روی کامپیوتر آلوده را متوقف میکند و به تمام پروسهها خاتمه میدهد. سپس فایلهای روی کامپیوتر آلوده را رمزگذاری کرده و به انتهای هر فایل، پسوند.yanluowang را اضافه میکند.
همچنین فایل README.txt حاوی اطلاعیه باجگیری (Ransome Note) را روی کامپیوتر آلوده قرار میدهد. در اطلاعیه باجگیری مهاجمان هشدار دادهاند که قربانی به نهادهای قانونی مراجعه نکند یا از شرکتهای مذاکرهکننده در زمینه باجافزار درخواست کمک نکند.
مهاجمان همچنین اعلام کردهاند که چنانچه قربانی از درخواست آنها اطاعت نکند، اقدام به اجرای حملات ازکارانداختن سرویس (Denial-of-Service)، تماس با شرکای تجاری آنان و ازبینبردن دادهها خواهند کرد. آنها همچنین تهدید میکنند که در چند هفته آینده دوباره به شبکه قربانی نفوذ کرده و دادههای آنها را حذف خواهند کرد. ترفند رایجی که مهاجمان باجافزاری از آن برای تحتفشار گذاشتن قربانیان خود جهت پرداخت باج استفاده میکنند.
جزئیات بیشتر در خصوص باجافزار Yanluowang، نشانههای آلودگی (Indicators of Compromise – بهاختصار IoC)، ابزارها و بدافزارهای مورداستفاده در حملات یادشده و نحوه رمزگشایی، در نشانیهای زیر قابل دریافت و مطالعه است:
https://newsroom.shabakeh.net/۲۲۸۵۳/yanluowang-ransomware-operation-matures-with-experienced-affiliates.html
https://securelist.com/how-to-recover-files-encrypted-by-yanlouwang/۱۰۶۳۳۲/
کد مطلب: 19016