Ransomware: Yanluowang sconfitto da Kaspersky


A ottobre dello scorso anno, aveva cominciato a farsi strada un nuovo ransomware denominato Yanluowang, di origine presumibilmente cinese e ancora in fase di sviluppo, ma ampiamente attivo e particolarmente difficile da contrastare, indirizzato perlopiù ad un numero limitato di aziende e organizzazioni d’alto profilo, ma anche a qualche utente privato malcapitato. A distanza di mesi, si torna a parlare nuovamente della minaccia in questione, questa volta andando però a tirare un bel sospiro di sollievo: gli esperti di Kaspersky hanno trovato il modo di sconfiggere la minaccia.

Il ransomware Yanluowang va KO grazie al decryptor di Kaspersky

Dopo un’attenta analisi condotta dai ricercatori della nota società di sicurezza informatica, è stata individuata una vulnerabilità in Yanluowang che può consentire il recupero semplificato dei file che vengono crittografati. Il ransomware è stato infatti analizzato nel dettaglio alla ricerca di falle tali da permettere lo sviluppo di un decryptor, cosa che alla fine Kaspersky è riuscita a fare.Più precisamente, l’utility RannohDecryptor di Kaspersky ha visto proprio in queste ore l’aggiunta del supporto alla decrittografia dei file bloccati da Yanluowang. Gli esperti sono riusciti nell’impresa grazie ad un accorgimento molto semplice: se il file originale è più grande di 3 GB, è possibile decrittografare tutti i file sul sistema infetto, di qualsiasi dimensione essi siano. Questo perché tale ceppo di ransomware crittografa i file più grandi di 3 GB e quelli più piccoli di 3 GB utilizzando sistemi differenti, i secondi integralmente e i primi in blocchetti da 5 megabyte ogni 200 MB.Per sfruttare il decryptor sviluppato da Kaspersky occorre allora fornirgli una oppia di file, uno crittografato e uno originale, aventi dimensioni pari o superiori a 1024 byte, nel caso di documenti di piccole dimensioni, o di oltre 3 GB ciascuno per andare ad agire sui file di grandi dimensioni.


Categories:   Security

Comments