Hace unos meses, un grupo de investigadores descubrió una variante de ransomware identificada como Yanluowang, la cual parecía tener avanzadas características de ataque e infección pero solo parece haber atacado a empresas específicas en Estados Unidos, Brasil y Turquía. Nombrado a partir de una deidad china, no hay demasiadas pistas para detectar el origen de este ransomware, aunque ya ha sido analizado minuciosamente.
En la nota de rescate que aparece después de la infección, los cibercriminales exigen a las víctimas no ponerse en contacto con las fuerzas del orden, amenazando con eliminar su información si piden ayuda de las autoridades.
Yanluowang es capaz de terminar máquinas virtuales, procesos y servicios en el sistema afectado, esto es necesario para que los archivos utilizados por otros programas puedan ser cifrados. Las partes principales de los servicios y procesos interrumpidos incluyen bases de datos, servicios email, navegadores, soluciones de seguridad, copias de seguridad e instantáneas.
Después de la infección, el ransomware divide los archivos en grandes y pequeños en un umbral de 3 GB; los archivos pequeños se cifran completamente de principio a fin, mientras que los archivos grandes se cifran en franjas de 5 megabytes después de cada 200 megabytes.
Al cifrar un archivo, se escribe una clave Sosemanuk cifrada con RSA. El bloque de archivo final cifrado tiene un tamaño de 1024 bytes.
Esta semana, los expertos de Kaspersky identificaron una vulnerabilidad en el algoritmo de cifrado del malware, lo que permitió crear una herramienta de descifrado gratuito.
Para descifrar un archivo, se debe tener al menos uno de los archivos originales; como se menciona anteriormente, el ransomware Yanluowang divide los archivos en archivos grandes y pequeños a lo largo de un umbral de 3 GB, lo que crea una serie de condiciones que deben cumplirse para descifrar ciertos archivos:
- Para descifrar archivos pequeños, se necesitan un par de archivos con un tamaño de 1024 bytes o más. Esto es suficiente para descifrar el resto de archivos pequeños
- Para descifrar archivos grandes, se necesitan un par de archivos de al menos 3 GB cada uno; esto es más que suficiente para descifrar archivos grandes y pequeños
Si los archivos originales disponibles tienen más de 3 GB, es posible descifrar todos los archivos del sistema infectado, tanto grandes como pequeños. No obstante, si hay un archivo original de menos de 3 GB, solo se pueden descifrar los archivos pequeños.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.