Noticias
¿Has sido atacado con Yanluowang? Kaspersky te ayuda
El ecosistema del mundo ransomware está tan poblado como cualquier selva tropical de insectos enormes y que, salvo que seas entomólogo, dan bastante miedo. En el mismo podemos encontrar desde grupos muy conocidos a nivel internacional, hasta pequeños operadores «independientes» que compensan la falta de recursos con pericia y dedicación. Y es normal, pues el ransomware se ha convertido en una de las modalidades más rentables de la ciberdelincuencia.
Así, aunque hay algunos nombres tremendamente populares, que hasta los profanos en la materia reconocen con cierta frecuencia, no debemos olvidar que, tras ellos, hay otras muchas amenazas, de menos renombre, pero igualmente peligrosas, y que una solución a cualquiera de ellas es, siempre, una muy buena noticia. Y es que puede que no hayan afectado a millones de personas, pero con que una solución sirva a unos pocos, ya es más que de agradecer y, por supuesto, bienvenida.
Y este es el caso de Yanluowang, un ransomware detectado por primera vez a finales del año pasado, y que se emplea en ataques dirigidos a grandes empresas. De momento, las víctimas afectadas por Yanluowang se concentran en Brasil, Estados Unidos y Turquía. Y una particularidad es que el software es controlado, de manera remota, manualmente, puesto que no se han automatizado sus procesos. Esto puede señalar ataques muy, muy personalizados, que por definición cuentan con una mayor probabilidad de éxito.
La buena noticia es que, tras analizarlo, Kaspersky ha logrado encontrar una solución para recuperar la información cifrada por Yanluowang. Es necesario, eso sí, contar con una copia «limpia» de alguno de los archivos afectados por el ataque. Esto nos permite deducir que la técnica diseñada por Kaspersky es capaz de obtener toda la información necesaria por comparación de los ficheros cifrados y sus versiones limpias, y que en base a la información obtenida con dicho análisis, ya es capaz de descifrar el resto de ficheros.
Quienes se hayan visto afectados por Yanluowang, hayan optado por no pagar el rescate y, en consecuencia, no hayan podido recuperar sus archivos, pueden emplear Rannoh Decryptor, una herramienta gratuita de Kaspersky, que forma parte de su colección de descifradores de ransomware gratuitos, y que en su última actualización ha añadido los elementos necesarios para poder aprovechar la debilidad detectada en el sistema de cifrado de este ransomware.
Como decía antes, no obstante, no hablamos de una solución 100% universal, esto es lo que nos dice Kaspersky al respecto:
«Yanluowang corrompe los archivos de forma ligeramente diferente según su tamaño. Cifra los archivos pequeños (menos de 3 GB) por completo y los grandes parcialmente. Por lo tanto, su descifrado requiere archivos limpios de diferentes tamaños. Para archivos de menos de 3GB, basta con tener el original y una versión cifrada del archivo de un tamaño de 1024 bytes o superior. Sin embargo, para recuperar archivos de más de 3 GB, se necesitan archivos originales del tamaño adecuado. Eso sí, si encuentras un archivo limpio de más de 3 GB, generalmente será posible recuperar toda la información afectada.»
A esto me refería anteriormente con la necesidad de contar con algún original sin cifrar. Pese a ello, y dado que es posible contar con copias en alguna memoria USB, algún disco externo, un sistema de copias de seguridad parcial, como adjuntos en algún correo electrónico, etcétera, las posibilidades de recuperación son muy reales y, por lo tanto, merece la pena el esfuerzo de buscar esos originales para poder recuperar el resto de activos cifrados.