Не все шифровальщики могут попасть в NoRansom: надежно, без ошибок в реализации, зашифрованные данные, ключ от которых хранится только у злоумышленников, восстановить невозможно. Но во многих шифровальщиках либо сам метод шифрования имеет уязвимости, либо ключи для расшифровки рано или поздно оказываются «на стороне добра», в результате получения доступа к серверной инфраструктуре атакующих. В некоторых случаях ключи для расшифровки выкладывают сами организаторы вредоносной атаки. В случае Yanluowang речь идет об уязвимости алгоритма шифрования.
Yanluowang отслеживается экспертами «Лаборатории Касперского» с декабря 2021 года, причем речь идет о единичных случаях атак. Злоумышленники явно нацелены на конкретные компании и не используют вредоносное ПО широкомасштабно. Записка с требованием выкупа от организаторов атаки выглядит так:
Перед запуском шифровальщика производится принудительная остановка процессов, чтобы освободить доступ к наиболее ценным данным. В списке на остановку присутствуют браузеры, СУБД и различные корпоративные программы. Интересно, что при запуске программа-шифровальщик требует в качестве аргумента путь к данным, которые требуется зашифровать. Это позволяет предположить, что шифрование запускается вручную, после получения доступа к системе и анализа содержимого.
Для шифрования данных используется шифр
В конец каждого зашифрованного файла записывается ключ от Sosemanuk, зашифрованный с помощью RSA-1024. Полную информацию о взломе шифра специалисты «Лаборатории Касперского» не приводят, упоминается лишь, что для расшифровки применяется атака
Инструменты для расшифровки данных были добавлены в утилиту Rannoh, наряду с другими утилитами бесплатно доступную на сайте проекта