卡巴斯基从勒索软件阎罗王里发现算法漏洞 现推出免费版的解密工具

Yanluowang 是赛门铁克威胁猎杀团队发现的针对某些大型企业的勒索软件。
也就是说,黑客的目标是有针对性的,而不是广泛针对家庭消费者。毕竟对于黑客来说,家庭消费者是直接重载的。
目前,安全公司对 Yama 背后的团伙知之甚少,但该勒索软件已经袭击了中国、美国、土耳其和巴西的公司。
幸运的是,卡巴斯基实验室在 Yama 使用的加密算法中发现了一个漏洞,卡巴斯基借助这个漏洞推出了免费的解密工具。


Yama Ransomware 的恶意行为:
从安全公司的分析来看,Yama Ransomware 具有终止虚拟机、进程和服务的能力,因为只有在终止后才能对数据进行加密。
终止的服务和流程包括数据库、电子邮件系统、浏览器、办公软件、安全软件以及内置的备份和恢复工具。
当勒索软件成功终止上述软件和服务后,它可以加密所有数据,使受害者难以直接通过备份系统恢复数据。
在加密方式上,Yama 使用 RSA-1024 非对称算法对其密钥进行加密,RSA 公钥直接嵌入到勒索软件的主程序中。
此外,勒索软件采用 RC4 算法加密。键是一个字符串,它也放在主程序中。加密文件后缀改为.yanluowang
如果要加密的文件大于3GB,则进行分割,其中大文件将被分割。 200MB 仅加密 5MB 数据,而小文件则完全加密。
算法漏洞:
卡巴斯基安全专家分析发现,Yama 存在算法漏洞,允许通过已知的明文攻击解密受影响用户的文件。
要解密文件,用户必须拥有原始文件,包括分割后的大小文件。使用原始文件,可以提取密钥来解密所有文件。
目前,卡巴斯基推出了一款名为 Rannoh 的解密工具,其中包含 Yama Ransomware 解密文件的解密算法。
有需要的用户可以点击这里下载Yama专用解密工具:https://dl.lancdn.com/landian/tools/rannoh/
注意:此勒索软件被卡巴斯基标记为 Trojan-Ransom.Win32.Yanluowang,或 PDM:Trojan.Win32 .Generic

本文由来源 LOCALHOST.COM.CN,由 八百里秦川 整理编辑,其版权均为 LOCALHOST.COM.CN 所有,文章内容系作者个人观点,不代表 LOCALHOST.COM.CN 对观点赞同或支持。如需转载,请注明文章来源。