Dosyalarını hiçbir şey hemen kurtarmaya yardımcı olmasa bile, genellikle fidye yazılımı kurbanlarına umutsuzluğa kapılmamalarını ve hiçbir dosyayı silmemelerini tavsiye ederiz. Sonuçta bir gün, polis saldırganların altyapısını ele geçirebilir veya araştırmacılar kötü amaçlı yazılım algoritmalarındaki kusurları ortaya çıkarabilir. İkinciye bir örnek, Kaspersky’nin Yanluowang fidye yazılımı analizi. Uzmanlarımız, saldırganların koduna ihtiyaç duymadan dosya kurtarmayı sağlayan bir güvenlik açığı buldu. Ancak bu, belirli durumlar için geçerli.
Yanluowang’ın şifrelediği dosyaların şifresi nasıl çözülür
Yanluowang kötü amaçlı yazılımındaki güvenlik açığı sayesinde, bilinen açık metin saldırısı ile dosya şifresi çözülebilir. Bu yöntem, aynı metnin iki versiyonu – biri temiz, biri şifreli – mevcutsa şifreleme algoritmasını çözebilir. Yani, kurban şifrelenmiş dosyaların bazılarının temiz kopyalarına sahipse veya bunları nereden alacağını biliyorsa, yükseltilmiş Rannoh Şifre Çözücümüz bunları analiz edebilir ve bilgilerin geri kalanını kurtarabilir.
Bir engel var: Yanluowang, dosyaları boyutlarına bağlı olarak biraz farklı şekilde bozar. Küçük dosyaları (3 GB’den az) tamamen, büyük dosyaları ise kısmen şifreler. Yani, şifrelerin çözülmesi için farklı boyutlarda temiz dosyalara ihtiyaç var. 3 GB’tan küçük dosyalarda, dosyanın orijinal ve şifrelenmiş sürümünün 1024 bayt veya daha büyük olması yeterli. 3 GB’tan büyük dosyaların kurtarılması için ise, uygun boyutta orijinal dosyalar gerekiyor. Ancak, 3 GB’tan büyük temiz bir dosya bulursanız, etkilenen tüm bilgileri kurtarmak genellikle mümkün.
Yanluowang nedir ve neden tehlikeli?
Yanluowang, bilinmeyen saldırganların büyük şirketleri hedef almak için kullandığı nispeten yeni bir fidye yazılımı. İlk olarak geçen yılın sonlarında duyuruldu. Şifreleme sürecini tetiklemek için, kötü amaçlı yazılımın belirli argümanları alması gerekir. Bu da, bir operatörün saldırıyı manuel olarak kontrol ettiğini gösterir. Yanluowang’ın kurbanları arasında ABD, Brezilya ve Türkiye’deki şirketler bulunuyor.
Yanluowang ile ilgili teknik ayrıntılar ve risk göstergeleri için Secure List gönderimizi inceleyin.
Yanluowang’a karşı nasıl korunursunuz
Fidye yazılımlarına karşı temel koruma için standart ipuçlarımızı dikkate alın: yazılımı her zaman güncel tutun; veri yedeklerini çevrimdışı depolayın; çalışanlara temel siber güvenlik eğitimi verin; bağlı tüm cihazlar için fidye yazılımlarına karşı yeterli koruma sağlayın.
Ancak, hedefli saldırılar ve hatta manuel kontrol edilen saldırılar göz önüne alındığında, kapsamlı bir güvenlik yaklaşımına ihtiyacınız var. Dolayısıyla, uzmanlarımız ek olarak şunları öneriyor:
- Şüpheli bağlantıları zamanında tespit etmek için giden trafiği izlemek;
- Düzenli siber güvenlik denetimleri yapmak;
- SOC çalışanlarını mevcut siber tehdit verileri hakkında bilgilendirmek;
- Üçüncü taraf uzmanlar ile bağlantı kurmak.