Avvertimento! Ryuk Decryptor non può promettere il pieno recupero

Il ransomware Ryuk è diventato famoso negli ultimi anni, accumulando centinaia di milioni di pagamenti in riscatto per i suoi creatori. Il ransomware Ryuk ha preso di mira sia il settore privato che quello pubblico, crittografando i file sulla rete infetta con una combinazione di AES e RSA.

Uno dei motivi del persistente successo del ransomware Ryuk è che i suoi creatori non hanno smesso di migliorarlo e di evolverlo nel corso degli anni. Proprio nell'ultimo anno, abbiamo visto diverse nuove funzionalità aggiunte al ransomware Ryuk, rendendolo una minaccia ancora più grande di prima.

Una delle nuove funzionalità che non sono state così ben documentate è la capacità di Ryuk di crittografare parzialmente i file. Ogni volta che il ransomware Ryuk si imbatte in un file di dimensioni superiori a 54,4 megabyte, crittografa solo alcune parti di esso, nel tentativo di risparmiare tempo e rimanere inosservato prima di crittografare quanti più dati possibile. I file crittografati in questo modo avranno un piè di pagina leggermente diverso alla fine, in cui viene solitamente archiviata la chiave AES crittografata RSA utilizzata per la crittografia.

Sono state apportate alcune modifiche al modo in cui viene calcolata la lunghezza del piè di pagina in una delle versioni più recenti del ransomware Ryuk. Di conseguenza, il decriptatore che gli attori della minaccia inviano alle vittime che hanno pagato il riscatto troncerà i file, tagliando un byte nel processo di decodifica. Questo potrebbe non essere un problema, a seconda del tipo di tipo di file. A volte, questi ultimi byte sono solo di riempimento e non contengono dati. Tuttavia, i file di database Oracle e alcuni file di tipo di disco virtuale, come VHD / VHDX, memorizzano i dati essenziali in quell'ultimo byte, rendendo i file inutilizzabili, anche dopo la decrittazione.

La cosa peggiore è che potresti non recuperare mai determinati file, anche dopo aver pagato il riscatto. Questo perché il decriptatore fornito dagli attori della minaccia dietro il ransomware Ryuk elimina le versioni crittografate dei file dopo averli "decifrati", il che significa che potresti essere bloccato con un file rotto e non c'è modo di recuperarlo. Uno dei modi per evitarlo è quello di non negoziare con i criminali informatici e trovare un altro modo per decrittografare i tuoi file. In ogni caso, prima di tentare qualsiasi ripristino, sarebbe una buona idea eseguire il backup dei dati crittografati, nel caso in cui qualcosa vada storto durante il processo di decodifica.