Dikutip dari Bleeping Computer, Kaspersky mengatakan pihaknya telah menemukan kerentanan dalam algoritma file pengguna yang terinfeksi melalui serangan teks biasa," kata Kaspersky.
Ransomware Yanluowang pertama kali terlihat pada Oktober 2021, dan telah digunakan dalam serangan yang dioperasikan manusia dan menargetkan entitas perusahaan. Satu bulan kemudian, salah satu afiliasinya diamati menyerang organisasi Amerika di sektor keuangan setidaknya sejak Agustus, menggunakan malware BazarLoader untuk pengintaian.
Berdasarkan taktik, teknik, dan prosedur (TTP) yang digunakan dalam serangan ini, afiliasi Yanluowang ini terkait dengan operasi ransomware Thieflock, yang dikembangkan oleh grup Fivehands (dilacak oleh Mandiant sebagai UNC2447). Setelah digunakan pada jaringan yang disusupi, Yanluowang menghentikan mesin virtual hypervisor, mengakhiri semua proses, dan mengenkripsi file yang menambahkan ekstensi .yanluowang.
“Mereka juga meninggalkan catatan tebusan bernama README.txt yang memperingatkan korban untuk tidak menghubungi penegak hukum atau meminta bantuan perusahaan negosiasi ransomware,” kata dia.
Jika permintaan penyerang tidak dipenuhi, operator ransomware mengancam untuk meluncurkan serangan DDoS terdistribusi terhadap jaringan korban dan memberitahu karyawan dan mitra bisnis mereka bahwa mereka telah dilanggar.
Mereka juga mengancam akan Kembali menembus jaringan korban dalam beberapa minggu dan menghapus data mereka, taktik umum yang digunakan geng ransomware untuk menekan korban mereka agar membayar uang tebusan.
Kaspersky menyebutkan, strain ransomware ini mengenkripsi file yang lebih besar dari 3GB dan yang lebih kecil dari 3GB menggunakan metode yang berbeda. Untuk file yang lebih besar sebagian dienkripsi dalam strip 5MB setelah setiap 200MB, sementara yang lebih kecil sepenuhnya dienkripsi dari awal hingga akhir.
Oleh karena itu, jika file asli lebih besar dari 3 GB, dimungkinkan untuk mendekripsi semua file pada sistem yang terinfeksi, baik besar maupun kecil. Tetapi jika ada file asli yang lebih kecil dari 3 GB, maka hanya file kecil yang dapat didekripsi.
Untuk mendekripsi file yang dienkripsi oleh ransomware Yanluowang, Teman-teman harus menggunakan alat dekripsi Rannoh yang tersedia dan dapat diunduh dari server Kaspersky
Sebagai catatan, untuk mendekripsi file kecil (kurang dari atau sama dengan 3 GB), Anda memerlukan sepasang file dengan ukuran 1024 byte atau lebih. Ini cukup untuk mendekripsi semua file kecil lainnya. Sedangkan, untuk mendekripsi file besar (lebih dari 3 GB), Anda memerlukan sepasang file (terenkripsi dan asli) dengan ukuran masing-masing tidak kurang dari 3 GB. Ini akan cukup untuk mendekripsi file besar dan kecil.
Temukan artikel atau berita tentang keamanan siber lainnya disini, Bagikan artikel ini jika dirasa perlu, ikuti kami di Blogger dan LinkedIn, terima kasih.
Posting Komentar