{"id":19326,"date":"2022-04-26T17:02:03","date_gmt":"2022-04-26T20:02:03","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19326"},"modified":"2022-04-27T09:16:54","modified_gmt":"2022-04-27T12:16:54","slug":"yanlouwang-decryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/yanlouwang-decryptor\/19326\/","title":{"rendered":"Descriptografador para malware Yanluowang"},"content":{"rendered":"

Geralmente, aconselhamos as v\u00edtimas de ransomware a n\u00e3o se desesperarem e a n\u00e3o excluir nenhum arquivo \u2013 mesmo que nada ajude a recuper\u00e1-los imediatamente. Afinal, um dia a pol\u00edcia pode apreender a infraestrutura dos invasores ou os pesquisadores podem descobrir falhas nos algoritmos do malware. Uma ilustra\u00e7\u00e3o deste \u00faltimo \u00e9 a an\u00e1lise da Kaspersky do ransomware Yanluowang. Nossos especialistas encontraram uma vulnerabilidade que permite a recupera\u00e7\u00e3o de arquivos sem a chave dos invasores \u2014 sob certas condi\u00e7\u00f5es.<\/p>\n

Como descriptografar arquivos criptografados pelo Yanluowang<\/h2>\n

A vulnerabilidade no malware Yanluowang permite a descriptografia de arquivos com a ajuda de um ataque de texto simples conhecido (known-plaintext). Esse m\u00e9todo supera o algoritmo de criptografia se duas vers\u00f5es do mesmo texto estiverem dispon\u00edveis: uma limpa e outra criptografada. Portanto, se a v\u00edtima tiver c\u00f3pias limpas de alguns dos arquivos criptografados ou souber onde obt\u00ea-los, nosso Rannoh Decryptor<\/a> atualizado pode analis\u00e1-los e recuperar o restante das informa\u00e7\u00f5es.<\/p>\n

H\u00e1 um problema: Yanluowang corrompe os arquivos de forma ligeiramente diferente, dependendo do tamanho. Ele criptografa arquivos pequenos (menos de 3 GB) completamente e os grandes parcialmente. Portanto, sua descriptografia requer arquivos limpos de tamanhos diferentes. Para arquivos menores que 3 GB, basta ter o original e uma vers\u00e3o criptografada do arquivo com tamanho de 1024 bytes ou mais. Para recuperar arquivos maiores que 3 GB, no entanto, s\u00e3o necess\u00e1rios arquivos originais do tamanho apropriado. No entanto, se voc\u00ea encontrar um arquivo limpo com mais de 3 GB, geralmente ser\u00e1 poss\u00edvel recuperar todas as informa\u00e7\u00f5es afetadas.<\/p>\n

O que \u00e9 o Yanluowang e por que \u00e9 perigoso?<\/h2>\n

Yanluowang \u00e9 um ransomware relativamente novo, que invasores desconhecidos usam para atingir grandes empresas. Foi relatado<\/a> pela primeira vez no final do ano passado. Para acionar o processo de criptografia, o malware deve receber os argumentos correspondentes, o que sugere que um operador controle o ataque manualmente. At\u00e9 o momento, as v\u00edtimas do Yanluowang incluem empresas nos EUA, Brasil e Turquia.<\/p>\n

Para obter detalhes t\u00e9cnicos sobre Yanluowang, bem como indicadores de comprometimento, consulte nosso post Securelist<\/a>.<\/p>\n

Como se proteger contra o Yanluowang<\/h2>\n

Para prote\u00e7\u00e3o b\u00e1sica contra ransomware, siga nosso conjunto padr\u00e3o de dicas: mantenha sempre o software atualizado; salve backups de dados em armazenamento offline; forne\u00e7a aos funcion\u00e1rios treinamento b\u00e1sico de seguran\u00e7a cibern\u00e9tica<\/a>; e tenha todos os dispositivos conectados com prote\u00e7\u00e3o adequada contra ransomware<\/a>.<\/p>\n

No entanto, devido a ataques direcionados \u2014 e at\u00e9 mesmo aqueles controlados manualmente \u2014 voc\u00ea precisa de uma abordagem de seguran\u00e7a abrangente. Portanto, nossos especialistas tamb\u00e9m recomendam:<\/p>\n