Описание вредоносного ПО

Как восстановить файлы, зашифрованные Yanluowang

Целевой шифровальщик Yanluowang был обнаружен в конце прошлого года командой Symantec Threat Hunter во время расследования инцидента в сети крупной организации. В апреле нынешнего года эксперты «Лаборатории Касперского» разработали инструмент, с помощью которого можно расшифровать пострадавшие от Yanluowang файлы без использования ключа злоумышленников.

Описание Yanluowang

Шифровальщик появился относительно недавно, его название – отсылка к китайскому божеству Yanluo Wang, одному из десяти королей ада. О жертвах Yanluowang известно пока немного. Согласно данным Kaspersky Security Network, атаки с использованием зловреда были замечены в США, Бразилии, Турции и других странах. Сравнительно низкое количество заражений объясняется таргетированностью шифровальщика: злоумышленники подготавливают и реализуют атаки на конкретные компании.

География атак Yanluowang, 04.12.21–08.04.22 гг. (скачать)

В записке с требованием выкупа авторы Yanluowang требуют не обращаться в правоохранительные органы и — цитата — «не принимать их за дураков».

Записка с требованием выкупа
Записка с требованием выкупа

Внутри программы-вымогателя реализованы функции для завершения работы виртуальных машин, процессов и служб. Это необходимо, чтобы используемые другими программами файлы стали доступны для шифрования. В основной набор служб и процессов, которые должны быть остановлены, входят базы данных, почтовые сервисы, браузеры, программы для работы с документами, защитные решения, сервисы для создания резервных и теневых копий.

Списки останавливаемых служб и процессов Списки останавливаемых служб и процессов

Списки останавливаемых служб и процессов

Чтобы запустить процесс шифрования на зараженной системе, необходимо передать программе соответствующие аргументы, а это означает, что запуск осуществлялся вручную оператором или посредством скриптов. Вот как выглядит синтаксис запуска шифровальщика:

Для шифрования файлов Yanluowang использует потоковый шифр Sosemanuk, ключ от которого затем шифруется по асимметричному алгоритму RSA-1024. Сам публичный ключ RSA-1024 вшит в программу, но зашифрован потоковым шифром RC4, который в качестве ключа использует также вшитую строку.

После шифрования файлы меняют расширение на .yanluowang
После шифрования файлы меняют расширение на .yanluowang

Yanluowang делит файлы по размеру. Файлы до 3 ГБ шифруются полностью, от начала до конца, тогда как от 3 ГБ они шифруются полосами, по 5 Мб через каждые 200 Мб.

Код шифрования большого (от 3 Гб) файла
Код шифрования большого (от 3 Гб) файла

После завершения процесса шифрования в конец каждого файла записывается ключ от Sosemanuk, зашифрованный алгоритмом RSA. Блок имеет размер 1024 байт.

Зашифрованный блок с ключом от Sosemanuk
Зашифрованный блок с ключом от Sosemanuk

Расшифровка файлов

Эксперты «Лаборатории Касперского» проанализировали шифровальщик и нашли уязвимость, которая позволила расшифровать файлы пострадавших пользователей с использованием known-plaintext attack. Необходимый для этого инструментарий был добавлен в утилиту Rannoh.

Поскольку Yanluowang по-разному шифрует файлы менее и более 3 ГБ, наши эксперты определили обязательные условия для успешной расшифровки. Пользователю понадобятся один или несколько оригинальных файлов:

  • Пара файлов (зашифрованный и оригинал) размером от 1024 байт для расшифровки файлов менее 3 ГБ. Этого вполне достаточно для расшифровки других маленьких файлов.
  • Пара файлов (зашифрованный и оригинал) размером от 3 ГБ для расшифровки файлов более 3 ГБ. С их помощью можно расшифровать файлы любого размера.

Таким образом, имея оригинальный файл размером более 3 ГБ, можно расшифровать вообще все файлы на зараженной системе. Если же все доступные оригинальные файлы маленькие, т.е. имеют размер до 3 ГБ, то расшифровать получится только другие файлы менее 3 ГБ.

Индикаторы заражения

Решения Лаборатории Касперского обнаруживают и блокируют описанный шифровальщик с вердиктом Trojan-Ransom.Win32.Yanluowang (при помощи компонента File Threat Protection), или проактивно с вердиктом PDM:Trojan.Win32.Generic (при помощи компонента Behavior Detection).

MD5
afaf2d4ebb6dc47e79a955df5ad1fc8a
ba95a2f1f1f39a24687ebe3a7a7f7295

Советы

Поскольку данный шифровальщик распространяется в атаках, управляемых злоумышленниками вручную, требуется комплексный подход к защите. Эксперты «Лаборатории Касперского» дают следующие базовые рекомендации, которые помогут защитить ваш бизнес от вымогателей:

  • Сохраняйте резервные копии своих данных в оффлайн-хранилищах — так преступники не смогут добраться до них. Обеспечьте быстрый доступ к ним на случай экстренной ситуации.
  • Чтобы защитить корпоративную среду, обучайте своих сотрудников правилам информационной безопасности. Используйте для этого специальные учебные курсы — например, представленные на платформе Kaspersky Automated Security Awareness Platform.
  • Проводите аудиты кибербезопасности, устраняйте уязвимости периметра и сетей.
  • Использовать защитные решения, которые помогают выявить и остановить атаку на ранних стадиях, например Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response.
  • Если вы стали жертвой вымогателей, не платите им. Выкуп — это поддержка преступного бизнеса и совершенно не гарантия того, что вы вернете доступ к своим данным. Лучше сообщите об инциденте в правоохранительные органы и попробуйте найти дешифратор на специализированных сайтах, например No More Ransom.

Как восстановить файлы, зашифрованные Yanluowang

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике