Varoitus! Ryuk-salauksen purkaja ei voi kehottaa täydellistä toipumista

Ryukin lunastusohjelmasta on tullut pahamaineinen viime vuosina, ja se on satojen miljoonien lunastusmaksuna sen tekijöille. Ryuk-lunastusohjelma on kohdistettu sekä yksityiselle että julkiselle sektorille salaamalla tartunnan saaneessa verkossa olevia tiedostoja AES: n ja RSA: n yhdistelmällä.

Yksi syy Ryuk-lunastusohjelman jatkuvaan menestykseen on, että sen luojat eivät ole lakanneet parantamasta ja kehittämästä sitä vuosien varrella. Vain kuluneen vuoden aikana olemme nähneet useita uusia ominaisuuksia lisääntyneitä Ryuk-lunastusohjelmiin, mikä tekee siitä entistä suuremman uhan kuin aiemmin.

Yksi uusista ominaisuuksista, joita ei ole vielä dokumentoitu niin hyvin, on Ryukin kyky salata tiedostoja osittain. Aina kun Ryuk-lunastusohjelma kohtaa tiedoston, joka on suurempi kuin 54,4 megatavua, se salaa vain tietyt osan siitä, jotta voidaan säästää aikaa ja jäädä huomaamatta, ennen kuin se salaa mahdollisimman paljon tietoja. Tällä tavalla salattujen tiedostojen lopussa on hiukan erilainen alatunniste, johon yleensä salataan käytetty RSA-salattu AES-avain.

Alatunnisteen pituuden laskentatapaan tehtiin joitain muutoksia yhdessä Ryuk-lunastusohjelman uusimmissa versioissa. Tämän seurauksena salauksen purkaja, jonka uhkien toimittajat lähettävät lunnaan maksaneille uhreille, katkaisee tiedostot leikkaamalla tavun salauksen purkuprosessissa. Tämä ei ehkä ole ongelma tiedostotyypin tyypistä riippuen. Joskus nämä viimeiset tavut ovat vain pehmusteita eivätkä sisällä tietoja. Oracle-tietokantatiedostot ja tietyt virtuaaliset levytyyppitiedostot, kuten VHD / VHDX, tallentavat kuitenkin välttämättömän tiedon viimeiseen tavuun, jolloin tiedostot ovat käyttökelvottomia jopa salauksen purkamisen jälkeen.

Vielä pahempaa on, että et koskaan voi palauttaa tiettyjä tiedostoja, vaikka maksat lunnaat. Tämä johtuu siitä, että Ryuk-ransomware-ohjelmiston takana olevien uhkatoimijoiden tarjoama salauksen purkaja poistaa tiedostojen salatut versiot sen jälkeen, kun se on "salannut" tiedostot, mikä tarkoittaa, että saatat olla juuttunut vioittuneeseen tiedostoon eikä keinoa palauttaa sitä. Yksi tapa välttää tämä on olla neuvottelematta verkkokroukkien kanssa ja löytää toinen tapa purkaa tiedostojasi. Joka tapauksessa, ennen kuin yrität mitään palautusta, olisi hyvä idea tehdä varmuuskopioita salatusta tiedosta, jos jokin menee pieleen salauksen purkuprosessin aikana.