Over het algemeen adviseren we slachtoffers van ransomware om niet te wanhopen en geen bestanden te verwijderen, zelfs niet als niets lijkt te helpen om ze onmiddellijk te herstellen. Het kan immers zomaar gebeuren dat de politie de infrastructuur van de aanvallers op een dag in beslag neemt, of onderzoekers kunnen alsnog zwakke plekken in de malware-algoritmen ontdekken. Een illustratie van dit laatste voorbeeld is Kaspersky’s analyse van de Yanluowang-ransomware. Onze experts vonden een kwetsbaarheid die het mogelijk maakt bestanden te herstellen zonder de sleutel van de aanvaller te bezitten, zij het onder bepaalde voorwaarden.
Het decoderen van bestanden die zijn versleuteld door Yanluowang
De kwetsbaarheid in de Yanluowang-malware maakt bestandsdecodering mogelijk met behulp van een “known-plaintext”-aanval. Deze methode is te omzeilen als er twee versies van dezelfde tekst beschikbaar zijn: een schone en een versleutelde. Dus als het slachtoffer schone kopieën heeft van enkele van de versleutelde bestanden, of weet waar deze te krijgen zijn, kan onze geüpgradede Rannoh Decryptor deze analyseren en de rest van de informatie herstellen.
Er zit één addertje onder het gras: Yanluowang beschadigt bestanden op verschillende manieren, afhankelijk van hun grootte. Het versleutelt kleine bestanden (minder dan 3 GB) volledig, en grote gedeeltelijk. Dus de decodering van deze bestanden vereist ook schone bestanden van verschillende grootte. Voor bestanden van minder dan 3 GB is het voldoende om het origineel en een versleutelde versie van het bestand met een grootte van 1024 bytes of meer te hebben. Om bestanden groter dan 3GB te herstellen, zijn er echter originele bestanden van de juiste grootte nodig. Maar als u een schoon bestand vindt dat groter is dan 3 GB, zal het over het algemeen mogelijk zijn alle aangetaste informatie te herstellen.
Wat is Yanluowang en waarom is het gevaarlijk?
Yanluowang is relatief nieuwe ransomware, waarmee onbekende aanvallers zich op grote bedrijven richten. Eind vorig jaar zagen we de eerste melding van deze ransomware. Om het versleutelingsproces in gang te zetten, moet de malware de overeenkomstige argumenten ontvangen, wat suggereert dat een operator de aanval handmatig bestuurt. Tot dusver vinden we onder de slachtoffers van Yanluowang bedrijven in de VS, Brazilië en Turkije.
Voor de technische details over Yanluowang en indicators of compromise, zie onze post op Securelist.
Hoe u zich tegen Yanluowang beschermt
Voor basisbescherming tegen ransomware volgt u onze inmiddels welbekende tips: houd software altijd up-to-date; bewaar back-ups van gegevens en sla deze offline op; geef werknemers training in de beginselen van cybersecurity; en rust alle verbonden apparaten uit met robuuste bescherming tegen ransomware.
Voor gerichte aanvallen – en zelfs handmatig gestuurde aanvallen – is echter een alomvattende beveiligingsaanpak nodig. Onze experts raden daarom bovendien het volgende aan:
Monitoring van uitgaand verkeer om verdachte verbindingen tijdig op te sporen;
Regelmatige cybersecurity-audits uitvoeren;
SOC-werknemers actuele gegevens over cyberdreigingen bieden;
Externe experts inschakelen.