Freier Decryptor für Yanlouwang-Ransomware

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsanbieter Kaspersky hat in der Verschlüsselung der Yanlouwang-Ransomware eine Schwachstelle entdeckt. In Folge dieser Schwachstelle kann die Verschlüsselung von Dateien unter bestimmten Voraussetzungen geknackt werden. Jedenfalls steht ein kostenloser Decryptor für die Yanlouwang-Ransomware zur Verfügung. Es werden jedoch Beispiele verschlüsselter Dateien und deren unverschlüsselter Originale für die Entschlüsselung benötigt.


Anzeige

Die Yanlouwang-Ransomware

Bei Yanluowang handelt es sich eine relativ neue Ransomware, die von bisher unbekannten Angreifern verwendet wird, um große Unternehmen angreifen. Sie wurde erstmals Ende letzten Jahres gemeldet. Um den Verschlüsselungsprozess auszulösen, muss die Malware die entsprechenden Argumente erhalten, was darauf schließen lässt, dass ein Anwender den Angriff manuell steuert. Zu den bisherigen Opfern von Yanluowang gehören Unternehmen in den USA, Brasilien und der Türkei.

Ein Decryptor von Kaspersky

Ich bin über nachfolgenden Tweet auf die Information gestoßen, dass Kaspersky die bisherigen Versionen der Yanlouwang-Ransomware geknackt hat und einen Decryptor zum Entschlüsseln verschlüsselter Daten bereitstellen konnte.

Yanlouwang Decryptor

Der Hintergrund für diesen Erfolg: Eine Schwachstelle in der Yanluowang-Malware ermöglicht die Entschlüsselung von Dateien mit Hilfe eines Angriffs mit bekanntem Klartext. Diese Methode knackt den Verschlüsselungsalgorithmus, wenn zwei Versionen desselben Textes verfügbar sind: die Originalfassung und eine verschlüsselte Variante. Wenn das Opfer also über saubere Kopien einiger verschlüsselter Dateien verfügt oder weiß, wo sie zu finden sind, kann der von Kaspersky um die entsprechenden Funktionen erweiterte Rannoh Decryptor diese analysieren und die Informationen aus den verschlüsselten Dateien wiederherstellen.


Anzeige

Ein kleiner Haken

Das Problem beim gesamten Ansatz ist, dass  Yanluowang Dateien, je nach ihrer Größe, auf unterschiedliche Weise beschädigt. Kleine Dateien (weniger als 3 GB) werden vollständig verschlüsselt, große nur teilweise. Für ihre Entschlüsselung sind also saubere Dateien unterschiedlicher Größe erforderlich. Bei Dateien, die kleiner als 3 GB sind, genügt es, das Original und eine verschlüsselte Version der Datei mit einer Größe von 1024 Byte oder mehr zu haben. Für die Wiederherstellung von Dateien, die größer als 3 GB sind, werden jedoch Originaldateien in der entsprechenden Größe benötigt. Wenn Opfer jedoch eine saubere (d.h. unverschlüsselte) Datei finden, die größer als 3 GB ist, ist es im Allgemeinen möglich, alle betroffenen Informationen wiederherzustellen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Freier Decryptor für Yanlouwang-Ransomware

  1. Sebastian Welsch sagt:

    D.h. immer schön die ISO Files von den Windows Installationen auf der Platte liegen lassen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.