Advarsel! Ryuk Decryptor kan ikke love fuld gendannelse
Ryuk ransomware er blevet berygtet i de seneste adskillige år og skaffer hundreder af millioner ransombetalinger til dets skabere. Ryuk ransomware har målrettet både privat og offentlig sektor og krypteret filer på det inficerede netværk med en kombination af AES og RSA.
En af grundene til den vedvarende succes med Ryuk ransomware er, at dens skabere ikke har stoppet med at forbedre og udvikle det gennem årene. Lige det seneste år har vi set flere nye funktioner tilføjes til Ryuk ransomware, hvilket gør det til en endnu større trussel end den tidligere var.
En af de nye funktioner, der ikke er blevet så godt dokumenteret, er Ryuks kapacitet til delvist at kryptere filer. Hver gang Ryuk ransomware støder på en fil, der er større end 54,4 megabyte, krypterer den kun visse dele af den i et forsøg på at spare tid og forblive ubemærket inden kryptering af så meget data som muligt. Filer, der er krypteret på en sådan måde, vil have en lidt anderledes sidefod i slutningen, hvor den RSA-krypterede AES-nøgle, der bruges til krypteringen, normalt lagres.
Der blev foretaget nogle ændringer i, hvordan længden på sidefoden beregnes i en af de nyeste versioner af Ryuk ransomware. Som et resultat af dette vil dekrypteren, som trusselsaktørerne sender til ofre, der har betalt løsepenge, afkorte filer og afskære en byte i dekrypteringsprocessen. Dette er muligvis ikke et problem, afhængigt af filtypen. Nogle gange er disse sidste byte bare polstring og indeholder ingen data. Oracle-databasefiler og visse virtuelle disktypefiler, som VHD / VHDX, lagrer dog vigtige data i den sidste byte, hvilket gør filerne ubrugelige, selv efter dekryptering.
Hvad der er endnu værre er, at du måske aldrig gendanner bestemte filer, selv efter at du har betalt løsepenge. Det skyldes, at dekrypteren, der leveres af trusselaktørerne bag Ryuk ransomware, sletter de krypterede versioner af filerne, efter at den har "dekrypteret" dem, hvilket betyder, at du måske sidder fast med en ødelagt fil og ingen måde at gendanne dem. En af måderne at undgå er at ikke forhandle med cyber-skurke og finde en anden måde at dekryptere dine filer på. Under alle omstændigheder, før du forsøger nogen gendannelse, ville det være en god ide at lave sikkerhedskopier af de krypterede data, i tilfælde af at noget går galt under dekrypteringsprocessen.