Yanluowang惡意程式的解密工具

如果不幸電腦的檔案被Yanluowang所加密,先不要感到絕望,以及不要刪除任何檔案,因為Kaspersky的專家從中找到安全漏洞,可以無需攻擊者的金鑰就能恢復檔案,雖然受到一定的條件限制,但仍存在一線希望。

解密被Yanluowang加密的檔案

在Yanluowang內的安全漏洞容許透過已知明文攻擊(known-plaintext attack)去令檔案解密,此方法是如果存在兩個版本的相同文字檔就能攻克加密的算法——一個清潔,一個被加密,所以如果受害者有某些被加密檔案的清潔副本,可以透過Kaspersky更新後的Rannoh Decryptor進行分析和復原其餘的資料。

不過當中有一個障礙,Yanluowang在干擾檔案時會因應他們的大小而略有不同,少於3GB的檔案會完全加密,大於3GB時會部份加密,要擁大小高於1024 bytes的原本和加密後檔案,要復原大於3GB的檔案,則需要有大於3GB的原本檔案,而且很有機會復原全部資料。

甚麼是Yanluowang?

Yanluowang是相對新的加密勒索程式,不明攻擊者藉此攻擊大企業,在去年底首次被發現,據稱加密程序雖要由操作員人手操控,現時受害者都位於美國、巴西和土耳其,其他技術詳情可以參考Securelist的文章。

防範Yanluowang的方法

防範加密勒索的基本方法:經常保持軟件更新、備份檔案到離線儲存裝置、為員工提供基礎的網絡安全培訓,和為所有連線裝置安裝可靠的保安方案。然而,對於針對性攻擊,甚至是手動操作的攻擊,便需要較多元化的保安方式,我們建議:

資料來源:Kaspersky Blog