Ramsomware
Geralmente, aconselhamos as vítimas de ransomware a não se desesperarem e a não excluir nenhum arquivo – mesmo que nada ajude a recuperá-los imediatamente. Afinal, um dia a polícia pode apreender a infraestrutura dos invasores ou os pesquisadores podem descobrir falhas nos algoritmos do malware. Uma ilustração deste último é a análise da Kaspersky do ransomware Yanluowang. Nossos especialistas encontraram uma vulnerabilidade que permite a recuperação de arquivos sem a chave dos invasores — sob certas condições.
Como descriptografar arquivos criptografados pelo Yanluowang
A vulnerabilidade no malware Yanluowang permite a descriptografia de arquivos com a ajuda de um ataque de texto simples conhecido (known-plaintext). Esse método supera o algoritmo de criptografia se duas versões do mesmo texto estiverem disponíveis: uma limpa e outra criptografada. Portanto, se a vítima tiver cópias limpas de alguns dos arquivos criptografados ou souber onde obtê-los, nosso Rannoh Decryptor atualizado pode analisá-los e recuperar o restante das informações.
Há um problema: Yanluowang corrompe os arquivos de forma ligeiramente diferente, dependendo do tamanho. Ele criptografa arquivos pequenos (menos de 3 GB) completamente e os grandes parcialmente. Portanto, sua descriptografia requer arquivos limpos de tamanhos diferentes. Para arquivos menores que 3 GB, basta ter o original e uma versão criptografada do arquivo com tamanho de 1024 bytes ou mais. Para recuperar arquivos maiores que 3 GB, no entanto, são necessários arquivos originais do tamanho apropriado. No entanto, se você encontrar um arquivo limpo com mais de 3 GB, geralmente será possível recuperar todas as informações afetadas.
O que é o Yanluowang e por que é perigoso?
Yanluowang é um ransomware relativamente novo, que invasores desconhecidos usam para atingir grandes empresas. Foi relatado pela primeira vez no final do ano passado. Para acionar o processo de criptografia, o malware deve receber os argumentos correspondentes, o que sugere que um operador controle o ataque manualmente. Até o momento, as vítimas do Yanluowang incluem empresas nos EUA, Brasil e Turquia.
Para obter detalhes técnicos sobre Yanluowang, bem como indicadores de comprometimento, consulte nosso post Securelist.
Como se proteger contra o Yanluowang
Para proteção básica contra ransomware, siga nosso conjunto padrão de dicas: mantenha sempre o software atualizado; salve backups de dados em armazenamento offline; forneça aos funcionários treinamento básico de segurança cibernética; e tenha todos os dispositivos conectados com proteção adequada contra ransomware.
No entanto, devido a ataques direcionados — e até mesmo aqueles controlados manualmente — você precisa de uma abordagem de segurança abrangente. Portanto, nossos especialistas também recomendam:
- Monitoramento do tráfego de saída para detectar conexões suspeitas em tempo hábil;
- Realização de auditorias regulares de segurança cibernética;
- Fornecer aos funcionários do COS dados atualizados de ameaças cibernéticas;
- Envolver especialistas de terceiros.
No entanto, devido a ataques direcionados — e até mesmo aqueles controlados manualmente — você precisa de uma abordagem de segurança abrangente. Portanto, nossos especialistas também recomendam:
Dicas