{"id":27097,"date":"2022-04-21T10:52:47","date_gmt":"2022-04-21T08:52:47","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27097"},"modified":"2022-04-21T10:59:57","modified_gmt":"2022-04-21T08:59:57","slug":"yanlouwang-decryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/yanlouwang-decryptor\/27097\/","title":{"rendered":"Un descifrador para el malware Yanluowang"},"content":{"rendered":"

Por lo general, recomendamos a las v\u00edctimas de ransomware<\/em> que no se desesperen ni eliminen ning\u00fan archivo, incluso aunque no haya nada que ayude a recuperarlos de inmediato. Despu\u00e9s de todo, alg\u00fan d\u00eda la polic\u00eda podr\u00eda apoderarse de la infraestructura de los atacantes o los investigadores podr\u00edan descubrir errores en los algoritmos del malware<\/em>.<\/p>\n

Un ejemplo de esto \u00faltimo es el an\u00e1lisis de Kaspersky del ransomware<\/em>\u00a0Yanluowang. Nuestros expertos encontraron una vulnerabilidad que permite la recuperaci\u00f3n de archivos sin la clave de los atacantes, bajo ciertas condiciones.<\/p>\n

C\u00f3mo descifrar los archivos cifrados por Yanluowang<\/h2>\n

La vulnerabilidad en el malware<\/em>\u00a0Yanluowang permite el descifrado de archivos con la ayuda de un ataque de texto sin formato conocido. Este m\u00e9todo supera el algoritmo de cifrado si hay dos versiones disponibles del mismo texto: una limpia y otra cifrada. Entonces, si la v\u00edctima tiene copias limpias de algunos de los archivos cifrados o sabe d\u00f3nde obtenerlos, nuestro Rannoh Decryptor<\/a> actualizado puede analizarlos y recuperar el resto de la informaci\u00f3n.<\/p>\n

Pero hay un inconveniente: Yanluowang corrompe los archivos de forma ligeramente diferente seg\u00fan su tama\u00f1o. Cifra los archivos peque\u00f1os (menos de 3 GB) por completo y los grandes parcialmente. Por lo tanto, su descifrado requiere archivos limpios de diferentes tama\u00f1os. Para archivos de menos de 3GB, basta con tener el original y una versi\u00f3n cifrada del archivo de un tama\u00f1o de 1024 bytes o superior. Sin embargo, para recuperar archivos de m\u00e1s de 3 GB, se necesitan archivos originales del tama\u00f1o adecuado. Eso s\u00ed, si encuentras un archivo limpio de m\u00e1s de 3 GB, generalmente ser\u00e1 posible recuperar toda la informaci\u00f3n afectada.<\/p>\n

\u00bfQu\u00e9 es Yanluowang y por qu\u00e9 es peligroso?<\/h2>\n

Yanluowang es un ransomware<\/em>\u00a0relativamente nuevo que los atacantes desconocidos utilizan para atacar a las grandes empresas y que se detect\u00f3<\/a> por primera vez a finales del a\u00f1o pasado. Para desencadenar el proceso de cifrado, el malware<\/em>\u00a0debe recibir los argumentos correspondientes, lo que sugiere que un operador controla el ataque manualmente. Hasta la fecha, las v\u00edctimas afectadas por Yanluowang est\u00e1n representadas por empresas de EE. UU., Brasil y Turqu\u00eda.<\/p>\n

Para m\u00e1s informaci\u00f3n t\u00e9cnica sobre Yanluowang, as\u00ed como sus indicadores de compromiso, puedes consultar nuestra publicaci\u00f3n en Securelist<\/a>.<\/p>\n

C\u00f3mo protegerse contra Yanluowang<\/h2>\n

Para una protecci\u00f3n b\u00e1sica contra este ransomware<\/em>, sigue nuestros consejos habituales: mant\u00e9n siempre el software<\/em> actualizado, guarda copias de seguridad de los datos en un almacenamiento sin conexi\u00f3n, proporciona a los empleados una formaci\u00f3n b\u00e1sica en ciberseguridad<\/a> y blinda todos los dispositivos conectados con una protecci\u00f3n adecuada contra el ransomware<\/a>.<\/p>\n

Sin embargo, debido a los ataques dirigidos, e incluso los controlados manualmente, necesitas una estrategia de seguridad integral. Por ello, nuestros expertos recomiendan que tambi\u00e9n:<\/p>\n