{"id":28488,"date":"2022-04-21T14:23:26","date_gmt":"2022-04-21T12:23:26","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28488"},"modified":"2022-04-22T13:46:57","modified_gmt":"2022-04-22T11:46:57","slug":"yanlouwang-decryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/yanlouwang-decryptor\/28488\/","title":{"rendered":"Decryptor f\u00fcr die Malware Yanluowang"},"content":{"rendered":"

Generell raten wir Ransomware-Opfern immer, die Ruhe zu bewahren und keinerlei Dateien zu l\u00f6schen \u2013 auch wenn sich die betroffenen Personen zun\u00e4chst in einer aussichtslosen Situation w\u00e4gen. Denn es ist durchaus m\u00f6glich, dass die Infrastruktur der Angreifer eines Tages beschlagnahmt wird oder Forscher Schwachstellen in den Malware-Algorithmen entdecken. Letzteres Szenario ist in unserer Analyse der Yanluowang-Ransomware eingetroffen. Unsere Experten haben eine Schwachstelle gefunden, die unter bestimmten Bedingungen eine Dateiwiederherstellung ohne den Entschl\u00fcsselungs-Key des Angreifers erm\u00f6glicht.<\/p>\n

Von Yanluowang betroffene Dateien entschl\u00fcsseln<\/h2>\n

Die Schwachstelle in der Yanluowang-Malware erm\u00f6glicht die Entschl\u00fcsselung von Dateien mit Hilfe eines Klartextangriffs (known-plaintext attack<\/em>). Bei dieser Methode wird der Verschl\u00fcsselungsalgorithmus bezwungen, wenn zwei Versionen desselben Textes \u2013 eine \u201esaubere\u201c und eine verschl\u00fcsselte Version \u2013 zur Verf\u00fcgung stehen. Wenn das Opfer \u00fcber partielle Kopien der verschl\u00fcsselten Dateien verf\u00fcgt oder diese m\u00f6glicherweise lokalisieren kann, ist unser aktualisierter Rannoh Decryptor<\/a> in der Lage, diese zu analysieren und den Rest der Informationen wiederherzustellen.<\/p>\n

Es gibt jedoch einen Haken: Yanluowang besch\u00e4digt Dateien je nach ihrer Gr\u00f6\u00dfe unterschiedlich. Die Ransomware verschl\u00fcsselt kleine Dateien (weniger als 3 GB) vollst\u00e4ndig, gro\u00dfe hingegen nur teilweise. Um diese Dateien entschl\u00fcsseln zu k\u00f6nnen, sind daher saubere Dateien unterschiedlicher Gr\u00f6\u00dfe erforderlich. Bei Dateien, die kleiner als 3 GB sind, reicht es aus, \u00fcber das Original und eine verschl\u00fcsselte Version der Datei mit einer Gr\u00f6\u00dfe von 1024 Bytes oder mehr zu verf\u00fcgen. Um Dateien mit mehr als 3 GB wiederherzustellen, sind jedoch Originaldateien in entsprechender Gr\u00f6\u00dfe erforderlich. Sind Opfer im Besitz einer Datei, die gr\u00f6\u00dfer als 3 GB ist, ist es im Allgemeinen m\u00f6glich, alle betroffenen Informationen wiederherzustellen.<\/p>\n

Warum ist Yanluowang so gef\u00e4hrlich?<\/h2>\n

Yanluowang ist eine vergleichsweise neue Ransomware, die von bislang unbekannten Kriminellen genutzt wird, um Gro\u00dfunternehmen anzugreifen. Offiziell gemeldet<\/a> wurde sie erstmals Ende letzten Jahres. Um den Verschl\u00fcsselungsprozess auszul\u00f6sen, muss die Malware entsprechende Argumente erhalten, was darauf hindeutet, dass Angriffe manuell gesteuert werden. Bis dato geh\u00f6ren zu den Opfern von Yanluowang Unternehmen in den USA, Brasilien und der T\u00fcrkei.<\/p>\n

Weitere technische Details \u00fcber Yanluowang sowie Indikatoren einer Kompromittierung finden Sie in unserem Beitrag auf Securelist<\/a>.<\/p>\n

So sch\u00fctzen Sie sich vor Yanluowang<\/h2>\n

F\u00fcr einen grundlegenden Schutz vor Ransomware sollten Sie unsere Standardtipps befolgen: Halten Sie Ihre Software immer auf dem neuesten Stand; sichern Sie Daten regelm\u00e4\u00dfig auf Offline-Medien; schulen Sie Ihre Mitarbeiter regelm\u00e4\u00dfig<\/a>; statten Sie alle vernetzten Ger\u00e4te mit einem angemessenen Schutz vor Ransomware<\/a> aus.<\/p>\n

Angesichts zielgerichteter Angriffe \u2013 und auch manuell gesteuerter \u2013 ben\u00f6tigen Sie jedoch einen umfassenden Sicherheitsansatz. Daher empfehlen unsere Experten zus\u00e4tzlich:<\/p>\n