En général, nous conseillons aux victimes d’un ransomware de ne pas baisser les bras et de ne pas supprimer les fichiers, même si rien ne leur permet de les récupérer immédiatement. Après tout, la police pourrait saisir les installations des cybercriminels, ou des chercheurs pourraient trouver une faille dans les algorithmes du malware. L’analyse de Kaspersky du ransomware Yanluowang illustre très bien ce dernier cas. Nos experts ont détecté une vulnérabilité qui permet de récupérer les fichiers sans avoir besoin de la clé des cybercriminels, même s’il y a certaines conditions.
Comment déchiffrer les fichiers chiffrés par Yanluowang
La vulnérabilité du malware Yanluowang permet le déchiffrement des fichiers grâce à une attaque à texte clair connu. Cette méthode bat le chiffrement de l’algorithme si deux versions du même texte sont disponibles : une propre et une chiffrée. Si la victime a des copies propres de certains fichiers chiffrés, ou sait où les trouver, notre outil de déchiffrement Rannoh Decryptor peut les analyser et récupérer le reste des informations.
Il y a tout de même un petit problème : Yanluowang corrompt les fichiers de manière légèrement différente selon leur taille. Il chiffre complètement les petits fichiers (moins de 3 GB) et partiellement les plus lourds. Il vous faut donc des fichiers de tailles différentes pour pouvoir tous les déchiffrer. Quant aux fichiers qui font moins de 3 GB, il vous suffit d’avoir une version originale et une version chiffrée du fichier qui fasse 1024 octets ou plus. Pour récupérer les fichiers de plus de 3 GB, vous avez besoin des fichiers originaux de la taille appropriée. En revanche, si vous trouvez un fichier propre de plus de 3 GB, vous pourrez récupérer toutes les données affectées.
Qu’est-ce que Yanluowang et pourquoi est-il dangereux ?
Yanluowang est un ransomware relativement récent et utilisé par des cybercriminels anonymes pour attaquer les grandes entreprises. Il a été signalé pour la première fois à la fin de l’année dernière. Pour déclencher le processus de chiffrement, le malware doit recevoir les arguments correspondants, ce qui laisse entendre qu’un opérateur contrôle l’attaque manuellement. À ce jour, les victimes de Yanluowang sont des entreprises américaines, brésiliennes et turques.
Lisez l’article publié sur Securelist pour obtenir plus de détails techniques et pour connaître les indicateurs de compromission.
Comment vous protéger contre Yanluowang
Suivez nos conseils habituels pour éviter les ransomwares : mettez toujours à jour les logiciels, sauvegardez les données dans des espaces de stockage hors-ligne, formez vos employés pour qu'ils aient quelques connaissances en cybersécurité et équipez tous les appareils connectés d’une protection adéquate contre les ransomwares.
Pourtant, étant donné l’ampleur des attaques ciblées et de celles contrôlées manuellement, vous devez adopter une approche globale en matière de sécurité. Ainsi, nos experts vous conseillent également de :
- Surveiller le trafic sortant pour détecter à temps les connexions suspectes ;
- Réaliser régulièrement des audits de cybersécurité ;
- Fournir aux employés du SOC des données actuelles sur les menaces informatiques;
- Demander de l’aide à des experts tiers.