{"id":24683,"date":"2022-04-21T11:03:15","date_gmt":"2022-04-21T17:03:15","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=24683"},"modified":"2022-04-21T11:03:15","modified_gmt":"2022-04-21T17:03:15","slug":"yanlouwang-decryptor","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/yanlouwang-decryptor\/24683\/","title":{"rendered":"Un descifrador para el malware Yanluowang"},"content":{"rendered":"

Usualmente solemos recomendar a las v\u00edctimas de ransomware<\/em> que no se desesperen ni eliminen ning\u00fan archivo, incluso aunque no haya algo que ayude a recuperarlos de inmediato. Despu\u00e9s de todo, la polic\u00eda podr\u00eda apoderarse de la infraestructura de los atacantes o los investigadores alg\u00fan d\u00eda, y podr\u00edan descubrir errores en los algoritmos del malware<\/em>. Un ejemplo de esto es el an\u00e1lisis de Kaspersky del ransomware<\/em>\u00a0Yanluowang. Nuestros expertos hallaron una vulnerabilidad que permite la recuperaci\u00f3n de archivos sin la clave de los atacantes, con algunas condiciones.<\/p>\n

C\u00f3mo descifrar los archivos cifrados por Yanluowang<\/h2>\n

La vulnerabilidad en el malware<\/em>\u00a0Yanluowang permite descifrar archivos con la ayuda de un ataque de texto sin formato conocido. Este m\u00e9todo supera el algoritmo de cifrado si hay dos versiones disponibles del mismo texto: una limpia y otra cifrada. Por tanto, si la v\u00edctima tiene copias limpias de algunos de los archivos cifrados o sabe d\u00f3nde obtenerlos, nuestro Rannoh Decryptor<\/a> actualizado puede analizarlos y recuperar la dem\u00e1s informaci\u00f3n.<\/p>\n

Sin embargo, existe un inconveniente: Yanluowang corrompe los archivos de forma ligeramente diferente de acuerdo su tama\u00f1o. Cifra los archivos peque\u00f1os (menos de 3 GB) por completo y de manera parcial los grandes. Por lo tanto, su descifrado requiere archivos limpios de diferentes tama\u00f1os. Para archivos menores a 3GB, basta con tener el original y una versi\u00f3n cifrada del archivo de un tama\u00f1o de 1024 bytes o superior. No obstante, para recuperar archivos que superen los 3 GB, es necesario contar con archivos originales del tama\u00f1o adecuado. Eso s\u00ed, si llegas a encontrar un archivo limpio de m\u00e1s de 3 GB, es probable que recuperar toda la informaci\u00f3n afectada sea m\u00e1s factible.<\/p>\n

\u00bfQu\u00e9 es Yanluowang y por qu\u00e9 es peligroso?<\/h2>\n

Yanluowang es un ransomware<\/em>\u00a0nuevo relativamente, que los atacantes desconocidos utilizan para atacar a las grandes empresas y que se detect\u00f3<\/a> por primera vez a finales del a\u00f1o pasado. Para desencadenar el proceso de cifrado, el malware<\/em>\u00a0debe recibir los argumentos correspondientes, lo que sugiere que un operador controla el ataque de manera manual. Actualmente, las v\u00edctimas afectadas por Yanluowang est\u00e1n representadas por empresas de EE. UU., Brasil y Turqu\u00eda.<\/p>\n

Para m\u00e1s informaci\u00f3n t\u00e9cnica sobre Yanluowang, as\u00ed como sus indicadores de compromiso, puedes consultar nuestra publicaci\u00f3n en Securelist<\/a>.<\/p>\n

C\u00f3mo protegerse contra Yanluowang<\/h2>\n

Para una protecci\u00f3n b\u00e1sica contra este ransomware<\/em>, sigue nuestros consejos usuales: mant\u00e9n siempre actualizado el software<\/em>, crea copias de seguridad de los datos en un almacenamiento sin conexi\u00f3n, proporcionaa los empleados una formaci\u00f3n b\u00e1sica en ciberseguridad<\/a> y protege todos los dispositivos conectados con una protecci\u00f3n adecuada contra el ransomware<\/a><\/p>\n

Sin embargo, gracias a los ataques dirigidos, e incluso aquellos que se controlan de manera manual, es necesaria una estrategia de seguridad integral. Por ello, nuestros expertos tambi\u00e9n recomiendan que:<\/p>\n