Generell raten wir Ransomware-Opfern immer, die Ruhe zu bewahren und keinerlei Dateien zu löschen – auch wenn sich die betroffenen Personen zunächst in einer aussichtslosen Situation wägen. Denn es ist durchaus möglich, dass die Infrastruktur der Angreifer eines Tages beschlagnahmt wird oder Forscher Schwachstellen in den Malware-Algorithmen entdecken. Letzteres Szenario ist in unserer Analyse der Yanluowang-Ransomware eingetroffen. Unsere Experten haben eine Schwachstelle gefunden, die unter bestimmten Bedingungen eine Dateiwiederherstellung ohne den Entschlüsselungs-Key des Angreifers ermöglicht.
Von Yanluowang betroffene Dateien entschlüsseln
Die Schwachstelle in der Yanluowang-Malware ermöglicht die Entschlüsselung von Dateien mit Hilfe eines Klartextangriffs (known-plaintext attack). Bei dieser Methode wird der Verschlüsselungsalgorithmus bezwungen, wenn zwei Versionen desselben Textes – eine „saubere“ und eine verschlüsselte Version – zur Verfügung stehen. Wenn das Opfer über partielle Kopien der verschlüsselten Dateien verfügt oder diese möglicherweise lokalisieren kann, ist unser aktualisierter Rannoh Decryptor in der Lage, diese zu analysieren und den Rest der Informationen wiederherzustellen.
Es gibt jedoch einen Haken: Yanluowang beschädigt Dateien je nach ihrer Größe unterschiedlich. Die Ransomware verschlüsselt kleine Dateien (weniger als 3 GB) vollständig, große hingegen nur teilweise. Um diese Dateien entschlüsseln zu können, sind daher saubere Dateien unterschiedlicher Größe erforderlich. Bei Dateien, die kleiner als 3 GB sind, reicht es aus, über das Original und eine verschlüsselte Version der Datei mit einer Größe von 1024 Bytes oder mehr zu verfügen. Um Dateien mit mehr als 3 GB wiederherzustellen, sind jedoch Originaldateien in entsprechender Größe erforderlich. Sind Opfer im Besitz einer Datei, die größer als 3 GB ist, ist es im Allgemeinen möglich, alle betroffenen Informationen wiederherzustellen.
Warum ist Yanluowang so gefährlich?
Yanluowang ist eine vergleichsweise neue Ransomware, die von bislang unbekannten Kriminellen genutzt wird, um Großunternehmen anzugreifen. Offiziell gemeldet wurde sie erstmals Ende letzten Jahres. Um den Verschlüsselungsprozess auszulösen, muss die Malware entsprechende Argumente erhalten, was darauf hindeutet, dass Angriffe manuell gesteuert werden. Bis dato gehören zu den Opfern von Yanluowang Unternehmen in den USA, Brasilien und der Türkei.
Weitere technische Details über Yanluowang sowie Indikatoren einer Kompromittierung finden Sie in unserem Beitrag auf Securelist.
So schützen Sie sich vor Yanluowang
Für einen grundlegenden Schutz vor Ransomware sollten Sie unsere Standardtipps befolgen: Halten Sie Ihre Software immer auf dem neuesten Stand; sichern Sie Daten regelmäßig auf Offline-Medien; schulen Sie Ihre Mitarbeiter regelmäßig; statten Sie alle vernetzten Geräte mit einem angemessenen Schutz vor Ransomware aus.
Angesichts zielgerichteter Angriffe – und auch manuell gesteuerter – benötigen Sie jedoch einen umfassenden Sicherheitsansatz. Daher empfehlen unsere Experten zusätzlich:
- Die Überwachung des ausgehenden Datenverkehrs, um verdächtige Verbindungen rechtzeitig zu erkennen;
- Die Durchführung regelmäßiger Cybersicherheits-Audits;
- Die Versorgung von SOC-Mitarbeitern mit aktuellen Daten zu Cyberbedrohungen;
- Die Einbeziehung von externen Experten.