Đã có công cụ giải mã ransomware Diêm La Vương chuyên tấn công doanh nghiệp

Mới đây, Kaspersky đã tiết lộ rằng họ tìm ra một lỗ hổng trong thuật toán mã hóa của ransomware Diêm La Vương (Yanluowang). Nhờ vậy, các nhà nghiên cứu đã tìm ra cách để khôi phụ những file bị ransomware này mã hóa.

Hãng an ninh mạng của Nga đã bổ sung thêm hỗ trợ giải mã file bị mã hóa bởi Yanluowang vào tiện ích RannohDecryptor của họ.

"Các chuyên gia của Kaspersky đã phân tích ransomware và tìm ra một lỗ hổng cho phép giải mã file của người dùng bị ảnh hưởng thông qua know-plaintext attack", Kaspersky chia sẻ.

Dòng ransomware này mã hóa các file lớn hơn 3GB và những file nhỏ hơn 3GB bằng các phương pháp khác nhau. Những file lớn được mã hóa một phần thành dải 5MB sau mỗi 200MB trong khi những file nhỏ được mã hóa từ đầu đến cuối.

Do đó, nếu file gốc lớn hơn 3GB, có thể giải mã tất cả file bị mã hóa trên hệ thống, bao gồm cả file lớn và file nhỏ. Nhưng nếu có file gốc nhỏ hơn 3GB thì chỉ có thể giải mã các file nhỏ.

Để giải mã file của bạn, bạn cần ít nhất một file gốc:

  • Để giải mã file nhỏ (ít hơn hoặc bằng 3GB), bạn cần một cặp file có kích thước từ 1024 byte trở lên. Điều này giúp giải mã tất cả các file nhỏ khác.
  • Để giải mã các file lớn (trên 3GB), bạn cần một cặp file (bị mã hóa và file gốc) có kích thước mỗi file không dưới 3GB. Điều này là đủ để bạn giải mã cả file lớn và file nhỏ.

Để giải mã các file bị mã hóa bởi ransomware Diêm La Vương, bạn cần sử dụng cong cụ giải mã Rannoh do Kaspersky cung cấp miễn phí:

Diêm La Vương chuyên tấn công các doanh nghiệp lớn

Theo thống kê của các chuyên gia an ninh mạng, Diêm La Vương chuyên tấn công vào các doanh nghiệp lớn trên thế giới, đặc biệt là các tổ chức tài chính. Bạn có thể tham khảo thêm về ransomware Diêm La Vương trong phần bài viết bên dưới:


Mới đây, Symantec Threat Hunter Team của Broadcom đã phát hiện ra một ransomware mới mang tên Yanluowang (Diêm La Vương, một trong 10 vị Diêm Vương cai quản địa ngục). Hiện tại, ransomware mới này vẫn đang trong gian đoạn phát triển và mục tiêu của nó là tấn công vào các doanh nghiệp.

Ransomware Diêm La Vương được phát hiện khi các chuyên gia điều tra sự cố liên quan tới một tổ chức danh tiếng. Cuộc điều tra được tiến hành sau khi họ phát hiện ra hoạt động đáng ngờ liên quan tới công cụ truy vấn Active Directory dòng lệnh AdFind.

AdFind thường được những kẻ đứng đằng sau các ransomware sử dụng cho các nhiệm vụ xác nhận lại bao gồm cả việc truy cập thông tin cần thiết cho việc di chuyển thông qua mạng của nạn nhân.

Xuất hiện ransomware Diêm La Vương chuyên tấn công doanh nghiệp

Sau khi được triển khai trên máy của nạn nhân, ransomware Yanluowang sẽ mã hóa tất cả các tập tin và gắn phần mở rộng .yanluowang vào. Chúng cũng để lại một file README.txt để đòi tiền chuộc và cảnh báo nạn nhân không nên liên hệ với cơ quan thực thi pháp luật hoặc các công ty chuyên giải quyết vấn đề ransomware.

Nếu nạn nhân không chịu trả tiền hoặc có hành vi liên hệ các bên khác, những kẻ đứng đằng sau Diêm La Vương sẵn sàng thực hiện các cuộc tấn công DDoS, xóa dữ liệu, lặp lại cuộc tấn công...

Mặc dù mới đang được phát triển nhưng Diêm La Vương vẫn bị coi là malware nguy hiểm. Với mục tiêu là các công ty, doanh nghiệp lớn, ransomware này có thể gây ra những thiệt hại khó lường.

Các quốc gia trên thế giới hiện đang rất tích cực trong việc hợp tác, cùng nhau triệt hạ các băng đẳng phân phối ransomware.

Thứ Ba, 19/04/2022 14:50
3,610 👨 9.089
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng