Специалисты «Лаборатории Касперского» создали инструмент для восстановления файлов, зашифрованных вредоносным ПО Yanluowang. Этот зловред (чье имя отсылает к одному из повелителей ада в китайской мифологии) впервые был обнаружен в октябре прошлого года. Он не так «знаменит», как другие шифровальщики, однако весьма опасен, а сравнительно малое число известных атак объясняется прежде всего тщательностью, с которой киберпреступники выбирают цели и осуществляют нападения. В настоящее время есть информация об атаках Yanluowang на организации финансового сектора США, также от инцидентов с его использованием пострадали компании в Бразилии, Турции и ряде других стран.

Перед началом шифрования вредоносное ПО завершает работу виртуальных машин, процессов и служб, включая базы данных, закрывает почтовые сервисы, браузеры, программы для работы с документами, защитные решения и сервисы для создания резервных копий. Это делается, чтобы используемые ими файлы также стали доступны для шифрования. При этом запуск шифрования осуществляется вручную, что означает, что злоумышленники тщательно контролируют весь процесс атаки.

В требовании выкупа вымогатели предостерегают жертв от обращения в правоохранительные органы и угрожают DDoS-атаками в случае, если не получат требуемую сумму. Специалистам «Лаборатории Касперского» удалось обнаружить уязвимость вредоносного ПО и расшифровать заблокированные Yanluowang файлы. Эта функция уже добавлена в утилиту Rannoh от «Лаборатории Касперского». Однако необходимо иметь в виду, что Yanluowang по-разному зашифровывает файлы в зависимости от их размера. Файлы размером до 3 ГБ зашифровываются полностью, а файлы свыше этого размера – полосами по 5 Мб через каждые 200 Мб. Соответственно, для дешифровки необходимо иметь несколько файлов. Если у жертвы имеется оригинал файла свыше 3 ГБ и его зашифрованная версия, то инструмент успешно дешифрует все данные. Если же имеется лишь файл меньшего объема и его зашифрованная версия, то удастся расшифровать только файлы объемом до 3 ГБ.