Давая советы жертвам шифровальщиков-вымогателей, мы, как правило, рекомендуем не отчаиваться и не удалять файлы, даже если их с ходу не получается восстановить. Они пригодятся в том случае, если позже правоохранительные органы доберутся до инфраструктуры злоумышленников или же исследователи обнаружат несовершенство в алгоритмах зловреда. Вот иллюстрация того, что иногда это действительно помогает: проводя тщательное исследование шифровальщика Yanluowang, эксперты «Лаборатории Касперского» нашли уязвимость, допускающую восстановление файлов без ключа злоумышленников. Правда, для этого потребуется соблюдение некоторых условий.
Как расшифровать файлы, зашифрованные вымогателем Yanluowang
Уязвимость в зловреде Yanluowang позволяет расшифровать файлы при помощи атаки на основе открытых текстов (known-plaintext attack). Это метод, который позволяет победить алгоритм шифрования, если у исследователя в руках будут две версии одного и того же текста — чистая и зашифрованная. Таким образом, если у жертвы где-то остались чистые копии нескольких зашифрованных файлов или он знает, где их достать еще раз, то наш обновленный декриптор Rannoh сможет проанализировать их и восстановить остальную информацию.
Правда, есть одна сложность — Yanluowang немного по-разному портит файлы различного размера: маленькие, размером меньше 3 Гбайт, он шифрует полностью, а большие — частично. Поэтому и дешифровка их требует наличия чистых файлов разного размера. Для файлов меньше 3 Гбайт достаточно иметь оригинал и зашифрованную версию файла размером от 1024 байтов. Если же вам необходимо вернуть файлы больше 3 Гбайт, то придется поискать и оригинальные файлы соответствующего размера. Впрочем, если чистый файл размером более 3 Гбайт найдется, то с его помощью удастся восстановить вообще всю пострадавшую информацию.
Что за шифровальщик Yanluowang и чем он опасен
Yanluowang — сравнительно новый шифровальщик-вымогатель, используемый неизвестными злоумышленниками для целевых атак на крупные компании. Впервые информация о нем появилась в конце прошлого года. Для запуска процесса шифрования зловред должен получить соответствующие аргументы, а это может свидетельствовать о том, что атака должна управляться оператором. По имеющейся на данный момент информации, жертвы Yanluowang можно найти среди компаний в США, Бразилии, Турции.
Более подробную техническую информацию о шифровальщике Yanluowang вместе с индикаторами компрометации можно найти в посте на блоге Securelist.
Как защитить себя от шифровальщиков типа Yanluowang
Для базовой защиты от шифровальщиков необходимо следовать стандартному набору советов: своевременно обновлять ПО, сохранять резервные копии данных в оффлайновые хранилища, обучать сотрудников основам информационной безопасности и обеспечить все подключенные устройства адекватной защитой от шифровальщиков.
Однако в случае с целевыми атаками, да еще и управляемыми вручную, требуется комплексный подход к защите. Так что дополнительно наши эксперты рекомендуют:
- Отслеживать исходящий трафик, чтобы своевременно выявить подозрительные подключения.
- Регулярно проводить аудит кибербезопасности.
- Обеспечивать сотрудникам внутреннего центра мониторинга и реагирования (SOC) доступ к актуальным данным по киберугрозам.
- При необходимости обращаться к сторонним специалистам.