Cyberthreat.id – Peneliti dari perusahaan keamanan siber Kaspersky, membagikan pembuka kuncian sistem atau decryptor secara gratis untuk korban ransomware Yanluowang.

Dikutip dari Bleeping Computer, Kaspersky mengatakan pihaknya telah menemukan kerentanan dalam algoritma enkripsi ransomware Yanluowang. Kerentanan ini memungkinkan pengguna untuk memulihkan file yang dienkripsi.

“Para ahli Kaspersky telah menganalisis ransomware dan menemukan kerentanan yang memungkinkan dekripsi file pengguna yang terpengaruh melalui serangan teks biasa,” kata Kaspersky.

Ransomware Yanluowang, pertama kali terlihat pada Oktober 2021, telah digunakan dalam serangan yang dioperasikan manusia dan menargetkan  entitas perusahaan. Satu bulan kemudian, salah satu afiliasinya diamati menyerang organisasi AS di sektor keuangan setidaknya sejak Agustus, menggunakan malware BazarLoader untuk pengintaian.

Berdasarkan taktik, teknik, dan prosedur (TTP) yang digunakan dalam serangan ini, afiliasi Yanluowang ini terkait dengan operasi ransomware Thieflock, yang dikembangkan oleh grup Fivehands (dilacak oleh Mandiant sebagai UNC2447). Setelah digunakan pada jaringan yang disusupi, Yanluowang menghentikan mesin virtual hypervisor, mengakhiri semua proses, dan mengenkripsi file yang menambahkan ekstensi .yanluowang.

“Mereka juga meninggalkan catatan tebusan bernama README.txt yang memperingatkan korban untuk tidak menghubungi penegak hukum atau meminta bantuan perusahaan negosiasi ransomware,” kata dia.

Jika permintaan penyerang tidak dipenuhi, operator ransomware mengancam untuk meluncurkan serangan penolakan layanan (DDoS) terdistribusi terhadap jaringan korban dan memberitahu karyawan dan mitra bisnis mereka bahwa mereka telah dilanggar.

Mereka juga mengancam akan Kembali menembus jaringan korban dalam beberapa minggu dan menghapus data mereka, taktik umum yang digunakan geng ransomware untuk menekan korban mereka agar membayar uang tebusan.

Kaspersky menyebutkan, strain ransomware ini mengenkripsi file yang lebih besar dari 3GB dan yang lebih kecil dari 3GB menggunakan metode yang berbeda. Untuk file yang lebih besar sebagian dienkripsi dalam strip 5MB setelah setiap 200MB, sementara yang lebih kecil sepenuhnya dienkripsi dari awal hingga akhir.

Oleh karena itu, jika file asli lebih besar dari 3 GB, dimungkinkan untuk mendekripsi semua file pada sistem yang terinfeksi, baik besar maupun kecil. Tetapi jika ada file asli yang lebih kecil dari 3 GB, maka hanya file kecil yang dapat didekripsi.

Sebagai catatan, untuk mendekripsi file kecil (kurang dari atau sama dengan 3 GB), Anda memerlukan sepasang file dengan ukuran 1024 byte atau lebih. Ini cukup untuk mendekripsi semua file kecil lainnya. Sedangkan, untuk mendekripsi file besar (lebih dari 3 GB), Anda memerlukan sepasang file (terenkripsi dan asli) dengan ukuran masing-masing tidak kurang dari 3 GB. Ini akan cukup untuk mendekripsi file besar dan kecil.[]

Editor: YAS