{"id":18790,"date":"2022-04-21T16:13:35","date_gmt":"2022-04-21T14:13:35","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18790"},"modified":"2022-04-21T16:13:35","modified_gmt":"2022-04-21T14:13:35","slug":"yanlouwang-decryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/yanlouwang-decryptor\/18790\/","title":{"rendered":"Outil de d\u00e9chiffrement du malware Yanluowang"},"content":{"rendered":"

En g\u00e9n\u00e9ral, nous conseillons aux victimes d\u2019un ransomware de ne pas baisser les bras et de ne pas supprimer les fichiers, m\u00eame si rien ne leur permet de les r\u00e9cup\u00e9rer imm\u00e9diatement. Apr\u00e8s tout, la police pourrait saisir les installations des cybercriminels, ou des chercheurs pourraient trouver une faille dans les algorithmes du malware. L\u2019analyse de Kaspersky du ransomware Yanluowang illustre tr\u00e8s bien ce dernier cas. Nos experts ont d\u00e9tect\u00e9 une vuln\u00e9rabilit\u00e9 qui permet de r\u00e9cup\u00e9rer les fichiers sans avoir besoin de la cl\u00e9 des cybercriminels, m\u00eame s\u2019il y a certaines conditions.<\/p>\n

Comment d\u00e9chiffrer les fichiers chiffr\u00e9s par Yanluowang<\/h2>\n

La vuln\u00e9rabilit\u00e9 du malware Yanluowang permet le d\u00e9chiffrement des fichiers gr\u00e2ce \u00e0 une attaque \u00e0 texte clair connu. Cette m\u00e9thode bat le chiffrement de l\u2019algorithme si deux versions du m\u00eame texte sont disponibles\u00a0: une propre et une chiffr\u00e9e. Si la victime a des copies propres de certains fichiers chiffr\u00e9s, ou sait o\u00f9 les trouver, notre outil de d\u00e9chiffrement Rannoh Decryptor<\/a> peut les analyser et r\u00e9cup\u00e9rer le reste des informations.<\/p>\n

Il y a tout de m\u00eame un petit probl\u00e8me\u00a0: Yanluowang corrompt les fichiers de mani\u00e8re l\u00e9g\u00e8rement diff\u00e9rente selon leur taille. Il chiffre compl\u00e8tement les petits fichiers (moins de 3 GB) et partiellement les plus lourds. Il vous faut donc des fichiers de tailles diff\u00e9rentes pour pouvoir tous les d\u00e9chiffrer. Quant aux fichiers qui font moins de 3 GB, il vous suffit d\u2019avoir une version originale et une version chiffr\u00e9e du fichier qui fasse 1024 octets ou plus. Pour r\u00e9cup\u00e9rer les fichiers de plus de 3 GB, vous avez besoin des fichiers originaux de la taille appropri\u00e9e. En revanche, si vous trouvez un fichier propre de plus de 3 GB, vous pourrez r\u00e9cup\u00e9rer toutes les donn\u00e9es affect\u00e9es.<\/p>\n

Qu\u2019est-ce que Yanluowang et pourquoi est-il dangereux ?<\/h2>\n

Yanluowang est un ransomware relativement r\u00e9cent et utilis\u00e9 par des cybercriminels anonymes pour attaquer les grandes entreprises. Il a \u00e9t\u00e9 signal\u00e9<\/a> pour la premi\u00e8re fois \u00e0 la fin de l\u2019ann\u00e9e derni\u00e8re. Pour d\u00e9clencher le processus de chiffrement, le malware doit recevoir les arguments correspondants, ce qui laisse entendre qu\u2019un op\u00e9rateur contr\u00f4le l\u2019attaque manuellement. \u00c0 ce jour, les victimes de Yanluowang sont des entreprises am\u00e9ricaines, br\u00e9siliennes et turques.<\/p>\n

Lisez l\u2019article publi\u00e9 sur Securelist<\/a> pour obtenir plus de d\u00e9tails techniques et pour conna\u00eetre les indicateurs de compromission.<\/p>\n

Comment vous prot\u00e9ger contre Yanluowang<\/h2>\n

Suivez nos conseils habituels pour \u00e9viter les ransomwares : mettez toujours \u00e0 jour les logiciels, sauvegardez les donn\u00e9es dans des espaces de stockage hors-ligne, formez vos employ\u00e9s pour qu'ils aient quelques connaissances en cybers\u00e9curit\u00e9<\/a> et \u00e9quipez tous les appareils connect\u00e9s d\u2019une protection ad\u00e9quate contre les ransomwares<\/a>.<\/p>\n

Pourtant, \u00e9tant donn\u00e9 l\u2019ampleur des attaques cibl\u00e9es et de celles contr\u00f4l\u00e9es manuellement, vous devez adopter une approche globale en mati\u00e8re de s\u00e9curit\u00e9. Ainsi, nos experts vous conseillent \u00e9galement de\u00a0:<\/p>\n