Un descifrador para el malware Yanluowang

Por lo general, recomendamos a las víctimas de ransomware que no se desesperen ni eliminen ningún archivo, incluso aunque no haya nada que ayude a recuperarlos de inmediato. Después de todo, algún día la policía podría apoderarse de la infraestructura de los atacantes o los investigadores podrían descubrir errores en los algoritmos del malware.

Un ejemplo de esto último es el análisis de Kaspersky del ransomware Yanluowang. Nuestros expertos encontraron una vulnerabilidad que permite la recuperación de archivos sin la clave de los atacantes, bajo ciertas condiciones.

Cómo descifrar los archivos cifrados por Yanluowang

La vulnerabilidad en el malware Yanluowang permite el descifrado de archivos con la ayuda de un ataque de texto sin formato conocido. Este método supera el algoritmo de cifrado si hay dos versiones disponibles del mismo texto: una limpia y otra cifrada. Entonces, si la víctima tiene copias limpias de algunos de los archivos cifrados o sabe dónde obtenerlos, nuestro Rannoh Decryptor actualizado puede analizarlos y recuperar el resto de la información.

Pero hay un inconveniente: Yanluowang corrompe los archivos de forma ligeramente diferente según su tamaño. Cifra los archivos pequeños (menos de 3 GB) por completo y los grandes parcialmente. Por lo tanto, su descifrado requiere archivos limpios de diferentes tamaños. Para archivos de menos de 3GB, basta con tener el original y una versión cifrada del archivo de un tamaño de 1024 bytes o superior. Sin embargo, para recuperar archivos de más de 3 GB, se necesitan archivos originales del tamaño adecuado. Eso sí, si encuentras un archivo limpio de más de 3 GB, generalmente será posible recuperar toda la información afectada.

¿Qué es Yanluowang y por qué es peligroso?

Yanluowang es un ransomware relativamente nuevo que los atacantes desconocidos utilizan para atacar a las grandes empresas y que se detectó por primera vez a finales del año pasado. Para desencadenar el proceso de cifrado, el malware debe recibir los argumentos correspondientes, lo que sugiere que un operador controla el ataque manualmente. Hasta la fecha, las víctimas afectadas por Yanluowang están representadas por empresas de EE. UU., Brasil y Turquía.

Para más información técnica sobre Yanluowang, así como sus indicadores de compromiso, puedes consultar nuestra publicación en Securelist.

Cómo protegerse contra Yanluowang

Para una protección básica contra este ransomware, sigue nuestros consejos habituales: mantén siempre el software actualizado, guarda copias de seguridad de los datos en un almacenamiento sin conexión, proporciona a los empleados una formación básica en ciberseguridad y blinda todos los dispositivos conectados con una protección adecuada contra el ransomware.

Sin embargo, debido a los ataques dirigidos, e incluso los controlados manualmente, necesitas una estrategia de seguridad integral. Por ello, nuestros expertos recomiendan que también:

• Monitorices el tráfico saliente para detectar a tiempo las conexiones sospechosas.
• Realices auditorías periódicas de ciberseguridad.
• Proporciones a los empleados del SOC datos actuales sobre las ciberamenazas.
• Involucres a expertos externos.