Описание вредоносного ПО

Как восстановить файлы, зашифрованные Yanluowang

Целевой шифровальщик Yanluowang был обнаружен в конце прошлого года командой Symantec Threat Hunter во время расследования инцидента в сети крупной организации. В апреле нынешнего года эксперты «Лаборатории Касперского» разработали инструмент, с помощью которого можно расшифровать пострадавшие от Yanluowang файлы без использования ключа злоумышленников.

Описание Yanluowang

Шифровальщик появился относительно недавно, его название – отсылка к китайскому божеству Yanluo Wang, одному из десяти королей ада. О жертвах Yanluowang известно пока немного. Согласно данным Kaspersky Security Network, атаки с использованием зловреда были замечены в США, Бразилии, Турции и других странах. Сравнительно низкое количество заражений объясняется таргетированностью шифровальщика: злоумышленники подготавливают и реализуют атаки на конкретные компании.

В записке с требованием выкупа авторы Yanluowang требуют не обращаться в правоохранительные органы и — цитата — «не принимать их за дураков».

Записка с требованием выкупа
Записка с требованием выкупа

Внутри программы-вымогателя реализованы функции для завершения работы виртуальных машин, процессов и служб. Это необходимо, чтобы используемые другими программами файлы стали доступны для шифрования. В основной набор служб и процессов, которые должны быть остановлены, входят базы данных, почтовые сервисы, браузеры, программы для работы с документами, защитные решения, сервисы для создания резервных и теневых копий.

Списки останавливаемых служб и процессов Списки останавливаемых служб и процессов

Списки останавливаемых служб и процессов

Чтобы запустить процесс шифрования на зараженной системе, необходимо передать программе соответствующие аргументы, а это означает, что запуск осуществлялся вручную оператором или посредством скриптов. Вот как выглядит синтаксис запуска шифровальщика:

Для шифрования файлов Yanluowang использует потоковый шифр Sosemanuk, ключ от которого затем шифруется по асимметричному алгоритму RSA-1024. Сам публичный ключ RSA-1024 вшит в программу, но зашифрован потоковым шифром RC4, который в качестве ключа использует также вшитую строку.

После шифрования файлы меняют расширение на .yanluowang
После шифрования файлы меняют расширение на .yanluowang

Yanluowang делит файлы по размеру. Файлы до 3 ГБ шифруются полностью, от начала до конца, тогда как от 3 ГБ они шифруются полосами, по 5 Мб через каждые 200 Мб.

Код шифрования большого (от 3 Гб) файла
Код шифрования большого (от 3 Гб) файла

После завершения процесса шифрования в конец каждого файла записывается ключ от Sosemanuk, зашифрованный алгоритмом RSA. Блок имеет размер 1024 байт.

Зашифрованный блок с ключом от Sosemanuk
Зашифрованный блок с ключом от Sosemanuk

Расшифровка файлов

Эксперты «Лаборатории Касперского» проанализировали шифровальщик и нашли уязвимость, которая позволила расшифровать файлы пострадавших пользователей с использованием known-plaintext attack. Необходимый для этого инструментарий был добавлен в утилиту Rannoh.

Поскольку Yanluowang по-разному шифрует файлы менее и более 3 ГБ, наши эксперты определили обязательные условия для успешной расшифровки. Пользователю понадобятся один или несколько оригинальных файлов:

  • Пара файлов (зашифрованный и оригинал) размером от 1024 байт для расшифровки файлов менее 3 ГБ. Этого вполне достаточно для расшифровки других маленьких файлов.
  • Пара файлов (зашифрованный и оригинал) размером от 3 ГБ для расшифровки файлов более 3 ГБ. С их помощью можно расшифровать файлы любого размера.

Таким образом, имея оригинальный файл размером более 3 ГБ, можно расшифровать вообще все файлы на зараженной системе. Если же все доступные оригинальные файлы маленькие, т.е. имеют размер до 3 ГБ, то расшифровать получится только другие файлы менее 3 ГБ.

Индикаторы заражения

Решения Лаборатории Касперского обнаруживают и блокируют описанный шифровальщик с вердиктом Trojan-Ransom.Win32.Yanluowang (при помощи компонента File Threat Protection), или проактивно с вердиктом PDM:Trojan.Win32.Generic (при помощи компонента Behavior Detection).

MD5
afaf2d4ebb6dc47e79a955df5ad1fc8a
ba95a2f1f1f39a24687ebe3a7a7f7295

Советы

Поскольку данный шифровальщик распространяется в атаках, управляемых злоумышленниками вручную, требуется комплексный подход к защите. Эксперты «Лаборатории Касперского» дают следующие базовые рекомендации, которые помогут защитить ваш бизнес от вымогателей:

  • Сохраняйте резервные копии своих данных в оффлайн-хранилищах — так преступники не смогут добраться до них. Обеспечьте быстрый доступ к ним на случай экстренной ситуации.
  • Чтобы защитить корпоративную среду, обучайте своих сотрудников правилам информационной безопасности. Используйте для этого специальные учебные курсы — например, представленные на платформе Kaspersky Automated Security Awareness Platform.
  • Проводите аудиты кибербезопасности, устраняйте уязвимости периметра и сетей.
  • Использовать защитные решения, которые помогают выявить и остановить атаку на ранних стадиях, например Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response.
  • Если вы стали жертвой вымогателей, не платите им. Выкуп — это поддержка преступного бизнеса и совершенно не гарантия того, что вы вернете доступ к своим данным. Лучше сообщите об инциденте в правоохранительные органы и попробуйте найти дешифратор на специализированных сайтах, например No More Ransom.

Как восстановить файлы, зашифрованные Yanluowang

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике