ransomware Yanluowang

Kaspersky hari ini mengungkapkan menemukan kerentanan dalam algoritma enkripsi ransomware Yanluowang, yang memungkinkan untuk memulihkan file yang dienkripsi.

Perusahaan keamanan siber Rusia telah menambahkan dukungan untuk mendekripsi file yang dikunci oleh jenis ransomware Yanluowang ke utilitas RannohDecryptor-nya.

Strain ransomware ini mengenkripsi file yang lebih besar dari 3GB dan yang lebih kecil dari 3GB menggunakan metode yang berbeda: yang lebih besar sebagian dienkripsi dalam strip 5MB setelah setiap 200MB, sementara yang lebih kecil sepenuhnya dienkripsi dari awal hingga akhir.

Karena itu, “jika file asli lebih besar dari 3 GB, dimungkinkan untuk mendekripsi semua file pada sistem yang terinfeksi, baik besar maupun kecil. Tetapi jika ada file asli yang lebih kecil dari 3 GB, maka hanya file kecil yang dapat didekripsi.”

Untuk mendekripsi file Anda, Anda memerlukan setidaknya satu file asli:

Untuk mendekripsi file kecil (kurang dari atau sama dengan 3 GB), Anda memerlukan sepasang file dengan ukuran 1024 byte atau lebih. Ini cukup untuk mendekripsi semua file kecil lainnya.
Untuk mendekripsi file besar (lebih dari 3 GB), Anda memerlukan sepasang file (terenkripsi dan asli) dengan ukuran masing-masing tidak kurang dari 3 GB. Ini akan cukup untuk mendekripsi file besar dan kecil.

Untuk mendekripsi file yang dienkripsi oleh ransomware Yanluowang, Anda harus menggunakan alat dekripsi Rannoh yang tersedia untuk diunduh dari server Kaspersky.

Kaspersky RannohDecryptor (BleepingComputer)

Ransomware Yanluowang, pertama kali terlihat pada Oktober 2021, telah digunakan dalam serangan yang dioperasikan manusia dan sangat ditargetkan terhadap entitas perusahaan.

Satu bulan kemudian, salah satu afiliasinya diamati menyerang organisasi AS di sektor keuangan setidaknya sejak Agustus, menggunakan malware BazarLoader untuk pengintaian.

Berdasarkan taktik, teknik, dan prosedur (TTP) yang digunakan dalam serangan ini, afiliasi Yanluowang ini terkait dengan operasi ransomware Thieflock yang dikembangkan oleh grup Fivehands (dilacak oleh Mandiant sebagai UNC2447).

Setelah digunakan pada jaringan yang disusupi, Yanluowang menghentikan mesin virtual hypervisor, mengakhiri semua proses, dan mengenkripsi file yang menambahkan ekstensi .yanluowang.

Itu juga menjatuhkan catatan tebusan bernama README.txt yang memperingatkan korban untuk tidak menghubungi penegak hukum atau meminta bantuan perusahaan negosiasi ransomware.

Jika permintaan penyerang tidak dipenuhi, operator ransomware mengancam untuk meluncurkan serangan penolakan layanan (DDoS) terdistribusi terhadap jaringan korban dan memberi tahu karyawan dan mitra bisnis mereka bahwa mereka telah dilanggar.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

ransomware Yanluowang

Cookies Settings