卡巴斯基发布了一个免费解密,为延址兰扬州软件

最后更新 :2022.04.19

Kaspersky在Yanluowang Ransomware的加密过程中发现了一个缺陷,允许受害者免费恢复他们的文件。

来自卡巴斯基的研究人员在可以被利用的yanluowang赎金软件的加密过程中发现了一种脆弱性恢复恶意软件加密的文件而不支付赎金。

首次由赛门铁克威胁猎人队的研究人员在10月2021年的研究人员发现了亚鲁沃朗兰斯沃州,恶意软件用于对大型企业的高度有针对性的攻击。

发现是调查的一部分尝试针对一个大型组织的赎金软件攻击。

卡巴斯基在其Rannohdrecryptor工具中实现了Yanluwang勒通软件的解密过程。为了解密他们的文件,这家赎金软件的受害者应该至少有一个原始文件。

卡巴斯基专家已经分析了勒索瓶d发现了一种漏洞,允许通过已知的明文攻击解密受影响的用户的文件。阅读公司发布的帖子。

yanluowang ransomware根据文件的大小使用不同的加密例程。

使用大于3GB的文件在每200MB的情况下部分加密,5MB,而小于3GB的文件从头到尾完全加密。为此原因,解密文件以下原因必须满足条件:

解密小文件(小于或等于3 GB),用户需要大小为1024个字节或更多的文件。这足以解密所有其他小文件。解密大文件(超过3 GB),用户需要一对文件(加密和原始)的大小不少于3 GB。这将足以解密大型和小文件。

借助于上述点,如果原始文件大于3 GB,则可以解密受感染的所有文件系统,大小。但是如果有一个小于3 GB的原始文件,那么只能解密小文件。继续帖子。,攻击者启动旨在使用以下操作准备环境的恶意工具:

使用远程计算机的数量创建一个.txt文件,以检查命令►Windows管理仪器(WMI)以获取运行的进程列表在.txt filelogs中列出的远程机器上,所有进程和远程计算机名称进程.txt

专家收集的样本的分析显示,延址朗格朗文软件使用Windows API进行加密。

Yanluowang ransom note


]部署 延脉朗兰库软件,它将停止虚拟化virTual Machines,结束由上述工具记录的所有进程(包括SQL和备份解决方案Veeam),然后它将加密文件。ransomware附加到加密文件的文件名的 。如果它不尊重其规则,赎金瓶运营商将推出对受害者的分布式拒绝服务(DDOS)攻击。赎金制造商运营商还威胁要拨打员工和商业伙伴,以损害受害者的品牌声誉,以及在几周内再次定位受害者并删除其数据。
yanluang&nbsp

请投票为安全事务作为最佳欧洲网络安全博主奖奖项2022投票给您的获奖者投票给我的弱者最适合个人(非商业人士))秒豪华博客和Tech Whiz最佳技术博客和其他选择。提名,请访问: https://docs.google.com/borms/d/e/1faipqlsfxxriscimz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/viewForm

- END -

看更多