Перейти к содержанию

Расшифровать файлы Yanluowang | Блог Касперского


Рекомендуемые сообщения

Давая советы жертвам шифровальщиков-вымогателей, мы, как правило, рекомендуем не отчаиваться и не удалять файлы, даже если их с ходу не получается восстановить. Они пригодятся в том случае, если позже правоохранительные органы доберутся до инфраструктуры злоумышленников или же исследователи обнаружат несовершенство в алгоритмах зловреда. Вот иллюстрация того, что иногда это действительно помогает: проводя тщательное исследование шифровальщика Yanluowang, эксперты «Лаборатории Касперского» нашли уязвимость, допускающую восстановление файлов без ключа злоумышленников. Правда, для этого потребуется соблюдение некоторых условий.

Как расшифровать файлы, зашифрованные вымогателем Yanluowang

Уязвимость в зловреде Yanluowang позволяет расшифровать файлы при помощи атаки на основе открытых текстов (known-plaintext attack). Это метод, который позволяет победить алгоритм шифрования, если у исследователя в руках будут две версии одного и того же текста — чистая и зашифрованная. Таким образом, если у жертвы где-то остались чистые копии нескольких зашифрованных файлов или он знает, где их достать еще раз, то наш обновленный декриптор Rannoh сможет проанализировать их и восстановить остальную информацию.

Правда, есть одна сложность — Yanluowang немного по-разному портит файлы различного размера: маленькие, размером меньше 3 Гбайт, он шифрует полностью, а большие — частично. Поэтому и дешифровка их требует наличия чистых файлов разного размера. Для файлов меньше 3 Гбайт достаточно иметь оригинал и зашифрованную версию файла размером от 1024 байтов. Если же вам необходимо вернуть файлы больше 3 Гбайт, то придется поискать и оригинальные файлы соответствующего размера. Впрочем, если чистый файл размером более 3 Гбайт найдется, то с его помощью удастся восстановить вообще всю пострадавшую информацию.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      На какие только уловки не идут мошенники, лишь бы раздобыть криптовалюту с чужого счета! Кто-то предлагает купить дефицитное майнинговое оборудование, другие заманивают подарками от криптобирж и самого Илона Маска, а иногда даже выкладывают в публичном сервисе скриншоты с паролями от чужих криптокошельков и собирают «комиссии» с польстившихся на халяву криптоинвесторов. Сегодня расскажем о новой мошеннической схеме с розыгрышем призов и еще раз напомним, почему сид-фразу от вашего кошелька нужно хранить как зеницу ока.
      Бесплатные деньги
      Как это чаще всего бывает, для потенциальной жертвы все начинается с письма. Авторы этой схемы выбрали для наживки предложение поучаствовать в раздаче кругленькой суммы в одной из криптовалют — Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC), Tron (TRX) или Ripple (XRP). На кону в общей сложности аналог 800 миллионов долларов, шутка ли! Под описанием аттракциона невиданной щедрости — незамысловатая инструкция из трех пунктов для желающих получить бесплатной крипты и ссылка на сайт «акции».
      Присмотримся к письму. Оно подписано службой поддержки некоего Crypto Community, то есть «криптовалютного сообщества». Так вполне могло бы назвать себя, например, объединение криптоэнтузиастов. Однако домен в адресе электронной почты отправителя не имеет отношения к какому-либо крипто в принципе. Это не вызывает доверия. Текст письма составлен небрежно, со множеством ошибок и опечаток. Вероятно, мошенники рассчитывают, что девятизначная сумма настолько поразит воображение жертвы, что на изучение деталей терпения уже не хватит.
      Фишинговое письмо с предложением поучаствовать в раздаче криптовалюты
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      За последние несколько лет злоумышленники выбирали своими целями и небольшие компании, и гигантские заводы, и города и даже целые страны. Атаки такого рода практически всегда оборачиваются внушительными потерями, как финансовыми, так и репутационными, поэтому велик соблазн бросить все силы защитников на ликвидацию последствий. Но важно не упускать из внимания и другой вопрос — как не допустить повторения инцидента.
      Почему вы скорее всего будете атакованы шифровальщиком второй раз?
      Когда-то авторы шифровальщиков сами пытались атаковать компании, рассылая свои троянцы со спамом. Современные группировки давно работают по принципу Ransomware-as-a-Service: предоставляют всем желающим доступ к инфраструктуре и коду зловреда за долю от выкупа. Да и вообще, «шифровальный бизнес» стремительно превращается в полноценную индустрию, где у каждого участника есть своя специализация. В частности, есть преступные группы, которые ищут (или организовывают) и продают первичный доступ к сетям компаний.
      Если в новостях или на хакерских форумах появится информация о том, что ваша организация стала жертвой шифровальщика, это автоматически привлечет внимание других злоумышленников. Особенно, если вы согласитесь заплатить выкуп. Потому что, во-первых, это будет означать, что ваша инфраструктура уязвима, а во-вторых, что вы ведете переговоры со злоумышленниками. Для современных преступников это явный признак того, что атаку на вашу компанию стоит повторить. И как показывают результаты опроса How business executives perceive ransomware threat, проведенного нашими коллегами, они не далеки от истины: 88% руководителей из компаний, которые пострадали от шифровальщиков, говорят, что готовы заплатить в случае повторения атаки.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Мошенники нередко прикрываются известными компаниями — онлайн-кинотеатрами, банками, интернет-магазинами. На этот раз злоумышленники действуют от имени Wells Fargo — одного из четырех крупнейших банков США, предоставляющего услуги более чем в 40 странах мира. Рассчитывая на доверие к банку, преступники не ограничиваются реквизитами банковских карт, а пытаются заодно завладеть доступом к почте жертвы и селфи с документом, удостоверяющим ее личность.
      Фишинговая атака на клиентов Wells Fargo
      Атака начинается с фишингового письма с тревожным уведомлением. В нем пользователю сообщают, что его банковский счет в Wells Fargo заблокирован — якобы из-за неподтвержденной электронной почты или ошибки в домашнем адресе. Чтобы восстановить доступ, в письме просят перейти по ссылке и подтвердить личность. Причем сделать это надо в течение 24 часов с того момента, как пришло письмо. В противном случае ни переводить деньги, ни снимать их со счета не получится — так пугают авторы сообщения.
      Письмо выглядит вполне убедительно: аккуратная плашка с логотипом, текст в официально-деловом стиле и почти без ошибок. Даже имя и адрес отправителя очень похожи на настоящие из службы поддержки банка. Правда, у адреса очень необычный домен в несуществующей зоне wellsfargo-com (вместо привычной .com). Но для того чтобы это заметить, надо все-таки присмотреться.
      Фишинговое письмо якобы от Wells Fargo
       
      View the full article
    • VictorOM
      От VictorOM
      Вот задумался... 🙂
      Интересно откуда они и кто у кого перенял и почему с маленькой тогда?
       

       
      Сообщение от модератора Mark D  Pearlstone Перемещено из "Опросы".
    • KL FC Bot
      От KL FC Bot
      В очередном ежемесячном обновлении компания Microsoft выпустила патчи для 74 уязвимостей, причем как минимум одна из них уже активно эксплуатируется злоумышленниками. Это повод как можно скорее установить заплатки.
      Самая опасная из закрытых уязвимостей — CVE-2022-26925
      По всей видимости, самая опасная уязвимость из свежеисправленной пачки — CVE-2022-26925, содержащаяся в Windows Local Security Authority. Ее рейтинг по шкале CVSS указан как 8.1, однако представители компании считают, что при применении в атаках NTLM Relay на службу сертификатов Active Directory, уровень опасности поднимается до 9.8 по той же шкале. Высокая степень опасности связана с тем, что в таком сценарии CVE-2022-26925 может позволить атакующему аутентифицироваться на контроллере домена.
      Под угрозой находятся пользователи операционных систем начиная с Windows 7 и серверных систем начиная с Windows Server 2008. Microsoft не делилась подробностями о эксплуатации этой уязвимости, однако судя по описанию проблемы, неизвестные злоумышленники уже активно применяют эксплойты для CVE-2022-26925 в атаках. Хорошая новость состоит в том, что по мнению экспертов эксплуатировать данную уязвимость в реальных атаках достаточно сложно.
      Исправление позволяет выявлять анонимные попытки доступа к Local Security Authority Remote Protocol и запрещать их. Однако по информации из официального FAQ установка этого обновления в Windows Server 2008 SP2 может негативно сказаться на работе некоторых программ для создания резервных копий.
       
      View the full article
×
×
  • Создать...