[English]Sicherheitsanbieter Kaspersky hat in der Verschlüsselung der Yanlouwang-Ransomware eine Schwachstelle entdeckt. In Folge dieser Schwachstelle kann die Verschlüsselung von Dateien unter bestimmten Voraussetzungen geknackt werden. Jedenfalls steht ein kostenloser Decryptor für die Yanlouwang-Ransomware zur Verfügung. Es werden jedoch Beispiele verschlüsselter Dateien und deren unverschlüsselter Originale für die Entschlüsselung benötigt.
Anzeige
Die Yanlouwang-Ransomware
Bei Yanluowang handelt es sich eine relativ neue Ransomware, die von bisher unbekannten Angreifern verwendet wird, um große Unternehmen angreifen. Sie wurde erstmals Ende letzten Jahres gemeldet. Um den Verschlüsselungsprozess auszulösen, muss die Malware die entsprechenden Argumente erhalten, was darauf schließen lässt, dass ein Anwender den Angriff manuell steuert. Zu den bisherigen Opfern von Yanluowang gehören Unternehmen in den USA, Brasilien und der Türkei.
Ein Decryptor von Kaspersky
Ich bin über nachfolgenden Tweet auf die Information gestoßen, dass Kaspersky die bisherigen Versionen der Yanlouwang-Ransomware geknackt hat und einen Decryptor zum Entschlüsseln verschlüsselter Daten bereitstellen konnte.
Der Hintergrund für diesen Erfolg: Eine Schwachstelle in der Yanluowang-Malware ermöglicht die Entschlüsselung von Dateien mit Hilfe eines Angriffs mit bekanntem Klartext. Diese Methode knackt den Verschlüsselungsalgorithmus, wenn zwei Versionen desselben Textes verfügbar sind: die Originalfassung und eine verschlüsselte Variante. Wenn das Opfer also über saubere Kopien einiger verschlüsselter Dateien verfügt oder weiß, wo sie zu finden sind, kann der von Kaspersky um die entsprechenden Funktionen erweiterte Rannoh Decryptor diese analysieren und die Informationen aus den verschlüsselten Dateien wiederherstellen.
Anzeige
Ein kleiner Haken
Das Problem beim gesamten Ansatz ist, dass Yanluowang Dateien, je nach ihrer Größe, auf unterschiedliche Weise beschädigt. Kleine Dateien (weniger als 3 GB) werden vollständig verschlüsselt, große nur teilweise. Für ihre Entschlüsselung sind also saubere Dateien unterschiedlicher Größe erforderlich. Bei Dateien, die kleiner als 3 GB sind, genügt es, das Original und eine verschlüsselte Version der Datei mit einer Größe von 1024 Byte oder mehr zu haben. Für die Wiederherstellung von Dateien, die größer als 3 GB sind, werden jedoch Originaldateien in der entsprechenden Größe benötigt. Wenn Opfer jedoch eine saubere (d.h. unverschlüsselte) Datei finden, die größer als 3 GB ist, ist es im Allgemeinen möglich, alle betroffenen Informationen wiederherzustellen.
Anzeige
D.h. immer schön die ISO Files von den Windows Installationen auf der Platte liegen lassen.