{"id":264479,"date":"2022-04-19T14:37:44","date_gmt":"2022-04-19T12:37:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=264479"},"modified":"2022-04-19T15:10:35","modified_gmt":"2022-04-19T13:10:35","slug":"freier-decryptor-fr-yanlouwang-ransomware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/04\/19\/freier-decryptor-fr-yanlouwang-ransomware\/","title":{"rendered":"Freier Decryptor für Yanlouwang-Ransomware"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsanbieter Kaspersky hat in der Verschl\u00fcsselung der Yanlouwang-Ransomware eine Schwachstelle entdeckt. In Folge dieser Schwachstelle kann die Verschl\u00fcsselung von Dateien unter bestimmten Voraussetzungen geknackt werden. Jedenfalls steht ein kostenloser Decryptor f\u00fcr die Yanlouwang-Ransomware zur Verf\u00fcgung. Es werden jedoch Beispiele verschl\u00fcsselter Dateien und deren unverschl\u00fcsselter Originale f\u00fcr die Entschl\u00fcsselung ben\u00f6tigt.<\/p>\n

<\/p>\n

Die Yanlouwang-Ransomware<\/h2>\n

\"\"Bei Yanluowang handelt es sich eine relativ neue Ransomware, die von bisher unbekannten Angreifern verwendet wird, um gro\u00dfe Unternehmen angreifen. Sie wurde erstmals Ende letzten Jahres gemeldet. Um den Verschl\u00fcsselungsprozess auszul\u00f6sen, muss die Malware die entsprechenden Argumente erhalten, was darauf schlie\u00dfen l\u00e4sst, dass ein Anwender den Angriff manuell steuert. Zu den bisherigen Opfern von Yanluowang geh\u00f6ren Unternehmen in den USA, Brasilien und der T\u00fcrkei.<\/p>\n

Ein Decryptor von Kaspersky<\/h2>\n

Ich bin \u00fcber nachfolgenden Tweet<\/a> auf die Information gesto\u00dfen, dass Kaspersky die bisherigen Versionen der Yanlouwang-Ransomware geknackt hat und einen Decryptor zum Entschl\u00fcsseln verschl\u00fcsselter Daten bereitstellen konnte<\/a>.<\/p>\n

\"Yanlouwang<\/a><\/p>\n

Der Hintergrund f\u00fcr diesen Erfolg: Eine Schwachstelle in der Yanluowang-Malware erm\u00f6glicht die Entschl\u00fcsselung von Dateien mit Hilfe eines Angriffs mit bekanntem Klartext. Diese Methode knackt den Verschl\u00fcsselungsalgorithmus, wenn zwei Versionen desselben Textes verf\u00fcgbar sind: die Originalfassung und eine verschl\u00fcsselte Variante. Wenn das Opfer also \u00fcber saubere Kopien einiger verschl\u00fcsselter Dateien verf\u00fcgt oder wei\u00df, wo sie zu finden sind, kann der von Kaspersky um die entsprechenden Funktionen erweiterte Rannoh Decryptor<\/a> diese analysieren und die Informationen aus den verschl\u00fcsselten Dateien wiederherstellen.<\/p>\n

Ein kleiner Haken<\/h2>\n

Das Problem beim gesamten Ansatz ist, dass\u00a0 Yanluowang Dateien, je nach ihrer Gr\u00f6\u00dfe, auf unterschiedliche Weise besch\u00e4digt. Kleine Dateien (weniger als 3 GB) werden vollst\u00e4ndig verschl\u00fcsselt, gro\u00dfe nur teilweise. F\u00fcr ihre Entschl\u00fcsselung sind also saubere Dateien unterschiedlicher Gr\u00f6\u00dfe erforderlich. Bei Dateien, die kleiner als 3 GB sind, gen\u00fcgt es, das Original und eine verschl\u00fcsselte Version der Datei mit einer Gr\u00f6\u00dfe von 1024 Byte oder mehr zu haben. F\u00fcr die Wiederherstellung von Dateien, die gr\u00f6\u00dfer als 3 GB sind, werden jedoch Originaldateien in der entsprechenden Gr\u00f6\u00dfe ben\u00f6tigt. Wenn Opfer jedoch eine saubere (d.h. unverschl\u00fcsselte) Datei finden, die gr\u00f6\u00dfer als 3 GB ist, ist es im Allgemeinen m\u00f6glich, alle betroffenen Informationen wiederherzustellen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsanbieter Kaspersky hat in der Verschl\u00fcsselung der Yanlouwang-Ransomware eine Schwachstelle entdeckt. In Folge dieser Schwachstelle kann die Verschl\u00fcsselung von Dateien unter bestimmten Voraussetzungen geknackt werden. Jedenfalls steht ein kostenloser Decryptor f\u00fcr die Yanlouwang-Ransomware zur Verf\u00fcgung. Es werden jedoch Beispiele verschl\u00fcsselter … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-264479","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264479","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=264479"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264479\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=264479"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=264479"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=264479"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}