Descubierto por primera por investigadores de Symantec en octubre de 2021, el ransomware Yanluowang se usó en ataques altamente dirigidos contra grandes empresas y ahora investigadores de Kaspersky han descubrieron una vulnerabilidad en el proceso de cifrado que puede explotarse para recuperar los archivos cifrados por el malware sin pagar el rescate.
“Los expertos de Kaspersky analizaron el ransomware y encontraron una vulnerabilidad que permite descifrar los archivos de los usuarios afectados a través de un ataque de texto sin formato conocido”, han comunicado hoy.
Kaspersky ha implementado el proceso de descifrado del ransomware Yanluowang en su herramienta RannohDecryptor. Para descifrar sus archivos, las víctimas de esta familia de ransomware deben tener al menos un archivo original.
Este ransomware sigue una rutina un tanto curiosa a la hora de cifrar sus archivos: los archivos de más de 3 GB se cifran parcialmente en franjas, 5 MB cada 200 MB, mientras que los archivos de menos de 3 GB se cifran completamente de principio a fin. Por ello, para poder descifrar los archivos se deben cumplir las siguientes condiciones:
- Para descifrar archivos pequeños (menores o iguales a 3 GB), los usuarios necesitan un par de archivos con un tamaño de 1024 bytes o más. Esto es suficiente para descifrar todos los demás archivos pequeños.
- Para descifrar archivos grandes (más de 3 GB), los usuarios necesitan un par de archivos (encriptados y originales) de no menos de 3 GB cada uno. Esto será suficiente para descifrar archivos grandes y pequeños.
Las víctimas del ransomware Yanluowang pueden descargar la herramienta de descifrado de los servidores de Kaspersky para descifrar sus archivos.
