勒索软件也有漏洞 瑞星发布“阎罗王”解密工具

近日，瑞星公司发布"Yanluowang"（阎罗王）勒索软件免费解密工具，广大用户可访问瑞星网站下载，被加密用户可使用该工具解密文件。

瑞星安全专家介绍，"Yanluowang"勒索软件最早被发现于 2021 年 8 月，最初使用有效的数字签名进行代码签名，加密方式采用 RSA+RC4 的模式进行文件加密，其具有终止虚拟机、进程和服务的功能，停止的服务和进程主要包括数据库、电子邮件服务、浏览器、处理文档的程序、安全解决方案、备份和卷影复制服务等。

图："Yanluowang"勒索信

同时，"Yanluowang"勒索软件由开发团队直接对企业进行高度针对性的攻击，而不用于其他主流勒索软件的勒索即服务（RaaS）方式，目前已有美国、巴西和土耳其在内的等多个国家都被该勒索病毒袭击。

而近日，"Yanluowang"勒索软件的文件加密流程被发现存在缺陷，允许通过已知明文攻击解密受影响用户的文件，瑞星安全研究院则根据这一漏洞开发了相应的解密工具，具体使用方法如下：

1.解密工具需要用户提供一个已加密的文件和一个与之对应的未被加密的原始文件。可以选择一些应用程序或系统相关文件（便于从系统还原或者其他电脑中找到其原始版本）；

如下图所示，提供一个已加密的文件 LICENSE.txt.yanluowang 与一个该文件未被加密的版本 LICENSE.txt。

图：准备一个已加密的文件和它的原始文件

2.点击 step 1 按钮浏览磁盘选择一个后缀为.yanluowang 的已加密文件；

3.点击 step 2 按钮浏览磁盘选择那个文件此前未被加密时的原始文件；

4.点击 step 3 来指定待解密的文件所在的文件夹路径；

图：解密工具界面

5.最后点击解密按钮开始解密文件。（解密成功后会在目标文件夹内创建解密完成的同名新文件）

同时，瑞星 ESM 防病毒终端安全防护系统等产品也可拦截并查杀"Yanluowang"勒索软件，广大用户可安装以规避相应风险，并且瑞星安全专家针对勒索软件攻击提出以下几点防范建议：

图：瑞星 ESM 防病毒终端安全防护系统查杀"Yanluowang"勒索软件

针对 RDP 弱口令攻击的防范建议：

限制可使用 RDP 的用户，仅将远程访问授权给那些必须用它来执行工作的人。

建立双重验证，如 Windows 平台下的 Duo Security MFA 或 Linux 平台 google-authenticator 等认证程序。

设置访问锁定策略，通过配置账户锁定策略，调整账户锁定阀值与锁定持续时间等配置可以有效抵御一定时间下高频的暴力破解。

审视 RDP 的使用需求，如果业务不需要使用它，那么可以将所有 RDP 端口关闭，也可以仅在特定时间之间打开端口。

重新分配 RDP 端口，可考虑将默认 RDP 端口更改为非标准的端口号, 可避免一部分恶意软件对特定 RDP 端口的直接攻击，仍需另外部署端口扫描攻击防范措施。

定期检查、修补已知的 RDP 相关漏洞。

创建防火墙规则限制远程桌面的访问, 以仅允许特定的 IP 地址。

RDP 的登陆，应使用高强度的复杂密码以降低弱口令爆破的机会。

针对系统安全性的防范建议：

及时更新软件及系统补丁。

定期备份重要数据。

开启并保持杀毒软件及勒索防护软件功能的正常。

定期修改管理员密码并使用复杂度较高的密码。

开启显示文件扩展名，防范病毒程序伪装应用程序图标。

针对局域网安全性的防范建议：

非必要时可关闭局域网共享文件或磁盘，防止病毒横向传播。

对局域网共享文件夹设置指定用户的访问权限，防止不必要的权限遭到病毒滥用。

通过防火墙规则限制如 445、3389 端口 / 关闭 445、3389 端口或是修改端口号，防止病毒通过扫描端口等方式查询区域资产信息。