Figyelem! A Ryuk Decryptor nem ígéretet nyújt a teljes helyreállításra

A Ryuk -váltságdíjas szoftver hírhedtté vált az elmúlt években, és több millió millió dollárt fizetett váltságdíjakkal az alkotók számára. A Ryuk ransomware mind a magán, mind a közszférát célozta meg, titkosítva a fertőzött hálózaton lévő fájlokat AES és RSA kombinációjával.

A Ryuk ransomware tartós sikerének egyik oka az, hogy alkotói az évek során nem álltak le továbbfejleszteni és továbbfejleszteni. Az elmúlt évben számos új funkcióval láttuk el a Ryuk ransomware szoftvert, ami még nagyobb fenyegetést jelent a korábbinál.

Az egyik olyan új szolgáltatás, amelyet még nem dokumentáltak olyan jól, a Ryuk képessége a fájlok részleges titkosítására. Ha a Ryuk ransomware 54,4 megabájtnál nagyobb fájlokat talál, akkor csak bizonyos részeit fogja titkosítani, hogy időt takarítson meg, és észrevétlenül maradjon, mielőtt a lehető legtöbb adatot titkosítja . Az így titkosított fájlok végén kissé eltérő lábléc van, ahol a titkosításhoz használt RSA-titkosított AES kulcsot tárolják.

Volt néhány változás a lábléc hosszának kiszámításában a Ryuk ransomware egyik legújabb verziójában. Ennek eredményeként a dekódoló, amelyet a fenyegetés szereplői küldnek a váltságdíjat kifizető áldozatoknak, fájlokat csonkolnak, és egy bájtot levágnak a dekódolási folyamat során. Lehet, hogy ez nem probléma, a fájltípus típusától függően. Időnként ezek az utolsó byte-ok csak kitöltést tartalmaznak, és nem tartalmaznak adatot. Az Oracle adatbázis fájlok és bizonyos virtuális lemeztípusú fájlok, például a VHD / VHDX azonban az alapvető adatokat az utolsó bájtban tárolják, így a fájlok még a dekódolás után is használhatatlanná válnak.

Sőt, ami még rosszabb, hogy soha nem fog helyrehozni bizonyos fájlokat, még akkor is, ha kifizeti a váltságdíjat. Ennek oka az, hogy a Ryuk ransomware mögött a fenyegetés szereplői által biztosított dekódoló törli a fájlok titkosított verzióit, miután "dekódolta" őket, azaz esetleg megsemmisült egy fájl, és nincs módja annak helyreállítására. Ennek elkerülésének egyik módja az, ha nem folytat tárgyalást a számítógépes csalókkal, és talál egy másik módszert a fájlok visszafejtésére. Mindenesetre, mielőtt bármilyen helyreállítást megkísérelne, jó ötlet lenne biztonsági másolatot készíteni a titkosított adatokról, ha valami rosszul fordul elő a dekódolás során.