Kaspersky a révélé aujourd’hui avoir trouvé une vulnérabilité dans l’algorithme de chiffrement du rançongiciel Yanluowang, qui permet de récupérer les fichiers qu’il chiffre.
La société russe de cybersécurité a ajouté la prise en charge du décryptage des fichiers verrouillés par la souche de ransomware Yanluowang à son utilitaire RannohDecryptor.
« Les experts de Kaspersky ont analysé le ransomware et trouvé une vulnérabilité qui permet de déchiffrer les fichiers des utilisateurs concernés via une attaque en clair connue », a déclaré la société. mentionné aujourd’hui.
Cette souche de ransomware crypte les fichiers de plus de 3 Go et ceux de moins de 3 Go en utilisant différentes méthodes : les plus gros sont partiellement cryptés en bandes de 5 Mo tous les 200 Mo, tandis que les plus petits sont entièrement cryptés du début à la fin.
Pour cette raison, « si le fichier d’origine est supérieur à 3 Go, il est possible de déchiffrer tous les fichiers du système infecté, petits et grands. Mais s’il existe un fichier d’origine inférieur à 3 Go, seuls les petits fichiers peuvent être déchiffré. »
Pour déchiffrer vos fichiers, vous avez besoin d’au moins un des fichiers originaux :
- Pour décrypter de petits fichiers (inférieurs ou égaux à 3 Go), vous avez besoin d’une paire de fichiers d’une taille de 1024 octets ou plus. Cela suffit pour décrypter tous les autres petits fichiers.
- Pour décrypter de gros fichiers (plus de 3 Go), vous avez besoin d’une paire de fichiers (cryptés et originaux) d’au moins 3 Go chacun. Cela suffira à décrypter les gros et les petits fichiers.
Pour décrypter les fichiers cryptés par le rançongiciel Yanluowang, vous devez utiliser l’outil de décryptage Rannoh disponible pour télécharger depuis les serveurs de Kaspersky.
Yanluowang attaque des cibles d’entreprises de premier plan
Le rançongiciel Yanluowang, repéré pour la première fois en octobre 2021, a été utilisé dans des attaques humaines hautement ciblées contre des entreprises.
Un mois plus tard, l’un de ses affiliés a été observé en train d’attaquer des organisations américaines du secteur financier depuis au moins août, en utilisant le logiciel malveillant BazarLoader à des fins de reconnaissance.
Sur la base des tactiques, techniques et procédures (TTP) utilisées dans ces attaques, cette filiale de Yanluowang était liée à l’opération de ransomware Thieflock développée par le groupe Fivehands (suivi par Mandiant sous le nom UNC2447).
Une fois déployé sur des réseaux compromis, Yanluowang arrête les machines virtuelles de l’hyperviseur, met fin à tous les processus et chiffre les fichiers en ajoutant l’extension .yanluowang.
Il laisse également tomber des notes de rançon nommées README.txt qui avertissent les victimes de ne pas contacter les forces de l’ordre ou de demander de l’aide à des sociétés de négociation de rançongiciels.
Si les demandes des attaquants ne sont pas satisfaites, les opérateurs de ransomware menacent de lancer des attaques par déni de service distribué (DDoS) contre les réseaux des victimes et informent leurs employés et partenaires commerciaux qu’ils ont été piratés.
Ils disent également qu’ils violeront à nouveau les réseaux des victimes « dans quelques semaines » et supprimeront leurs données, une tactique courante utilisée par les gangs de rançongiciels pour faire pression sur leurs victimes afin qu’elles paient la rançon.