当前位置:首页-安全资讯科技资讯-正文

卡巴斯基从勒索软件阎罗王里发现算法漏洞 现推出免费版的解密工具

阎罗王 (Yanluowang) 是赛门铁克威胁追踪团队发现的勒索软件,该勒索软件的目标是某些特定的大型企业。

也就是黑客目标是具有针对性的并非广泛撒网面向家庭消费者,毕竟对黑客来说家庭消费者中招都直接重装。

目前安全公司对阎罗王背后的团伙知之甚少,但该勒索软件已经袭击中国、美国、土耳其和巴西的多家公司。

幸运的是卡巴斯基实验室在阎罗王使用的加密算法中发现了个漏洞,借助该漏洞卡巴斯基推出免费解密工具。

卡巴斯基从勒索软件阎罗王里发现算法漏洞 现推出免费版的解密工具

阎罗王勒索软件的恶意行为:

从安全公司的分析来看阎罗王勒索软件具有终止虚拟机、进程和服务的能力,因为只有终止后才能加密数据。

终止的服务和进程包括数据库、电子邮件系统、浏览器、办公软件、安全软件、系统内置的备份和还原工具。

当勒索软件成功将上述软件和服务终止后就可以加密所有数据,让受害者难以通过备份系统将数据直接还原。

加密方式上阎罗王使用RSA-1024非对称算法对其密钥进行加密,RSA 公钥直接嵌入在勒索软件的主程序中。

另外该勒索软件RC4算法进行加密其密钥是字符串也放在主程序中,加密后的文件后缀被改成 .yanluowang

如果待加密的文件大于 3GB 则会被分割,其中大文件为200MB只加密其中5MB的数据,而小文件完全加密。

出现算法漏洞:

卡巴斯基安全专家分析时发现阎罗王存在算法漏洞,该漏洞允许通过已知的明文攻击解密受影响用户的文件。

要解密文件用户必须有原始文件,包括被分割的大文件和小文件,有原始文件就可以提取密钥解密所有文件。

目前卡巴斯基已经推出名为Rannoh的解密工具,该解密工具包含对阎罗王勒索软件的解密算法可解密文件。

有需要的用户可以点击这里下载阎罗王专用的解密工具: https://dl.lancdn.com/landian/tools/rannoh/

注:该勒索软件被卡巴斯基标记为Trojan-Ransom.Win32.Yanluowang,或PDM:Trojan.Win32.Generic

感谢您的阅读,本文为蓝点网原创内容,转载时请标注来源于蓝点网和本文链接