Usualmente solemos recomendar a las víctimas de ransomware que no se desesperen ni eliminen ningún archivo, incluso aunque no haya algo que ayude a recuperarlos de inmediato. Después de todo, la policía podría apoderarse de la infraestructura de los atacantes o los investigadores algún día, y podrían descubrir errores en los algoritmos del malware. Un ejemplo de esto es el análisis de Kaspersky del ransomware Yanluowang. Nuestros expertos hallaron una vulnerabilidad que permite la recuperación de archivos sin la clave de los atacantes, con algunas condiciones.
Cómo descifrar los archivos cifrados por Yanluowang
La vulnerabilidad en el malware Yanluowang permite descifrar archivos con la ayuda de un ataque de texto sin formato conocido. Este método supera el algoritmo de cifrado si hay dos versiones disponibles del mismo texto: una limpia y otra cifrada. Por tanto, si la víctima tiene copias limpias de algunos de los archivos cifrados o sabe dónde obtenerlos, nuestro Rannoh Decryptor actualizado puede analizarlos y recuperar la demás información.
Sin embargo, existe un inconveniente: Yanluowang corrompe los archivos de forma ligeramente diferente de acuerdo su tamaño. Cifra los archivos pequeños (menos de 3 GB) por completo y de manera parcial los grandes. Por lo tanto, su descifrado requiere archivos limpios de diferentes tamaños. Para archivos menores a 3GB, basta con tener el original y una versión cifrada del archivo de un tamaño de 1024 bytes o superior. No obstante, para recuperar archivos que superen los 3 GB, es necesario contar con archivos originales del tamaño adecuado. Eso sí, si llegas a encontrar un archivo limpio de más de 3 GB, es probable que recuperar toda la información afectada sea más factible.
¿Qué es Yanluowang y por qué es peligroso?
Yanluowang es un ransomware nuevo relativamente, que los atacantes desconocidos utilizan para atacar a las grandes empresas y que se detectó por primera vez a finales del año pasado. Para desencadenar el proceso de cifrado, el malware debe recibir los argumentos correspondientes, lo que sugiere que un operador controla el ataque de manera manual. Actualmente, las víctimas afectadas por Yanluowang están representadas por empresas de EE. UU., Brasil y Turquía.
Para más información técnica sobre Yanluowang, así como sus indicadores de compromiso, puedes consultar nuestra publicación en Securelist.
Cómo protegerse contra Yanluowang
Para una protección básica contra este ransomware, sigue nuestros consejos usuales: mantén siempre actualizado el software, crea copias de seguridad de los datos en un almacenamiento sin conexión, proporcionaa los empleados una formación básica en ciberseguridad y protege todos los dispositivos conectados con una protección adecuada contra el ransomware
Sin embargo, gracias a los ataques dirigidos, e incluso aquellos que se controlan de manera manual, es necesaria una estrategia de seguridad integral. Por ello, nuestros expertos también recomiendan que:
- Monitorices el tráfico que sale para detectar de manera oportuna las conexiones sospechosas.
- Realices auditorías de ciberseguridad periodicamente.
- Proporciones a los empleados del SOC datos actuales sobre las ciberamenazas
- Involucres a expertos externos