RansomExx Linux ransomware

Sicurezza informaticai ricercatori hanno analizzato la minaccia ransomware distribuita dagli hacker RansomExx Ransomware e hanno scoperto che potrebbe rovinare la sua routine di crittografia. Il risultato è che anche dopo che le vittime hanno pagato il riscatto richiesto agli aggressori e hanno ricevuto la chiave di decrittazione e lo strumento che dovrebbero ripristinare i loro file, i dati potrebbero comunque rimanere danneggiati, inaccessibili e, in definitiva, inutilizzabili.

Il RansomExx Linux Ransomware, come suggerisce il nome, prende di mira i sistemi Linux e blocca i file archiviati lì. Sfortunatamente, a causa di una scelta deliberata o di una scarsa familiarità con Linux, la codifica del processo di crittografia non è stata studiata a fondo. I ricercatori di infosec hanno scoperto che la minaccia non blocca i file che sta crittografandoattualmente. Ciò consente di scrivere nuovi dati nel file da un altro processo attualmente attivo. Il risultato finale è un file con dati crittografati aggiunti da un blocco di dati non crittografati.

Il problema sorge quando le vittime hanno deciso di cedere e pagare l'importo richiesto agli aggressori, sperando di riavere i propri dati il prima possibile. Lo strumento di decrittografia dedicato ricevuto dall'autore della minaccia prima decrittografa la chiave di decrittografia di ciascun file e quindi procede a utilizzare la chiave per ripristinare il file stesso. Tuttavia, la presenza di dati normali aggiunti alla fine del file impedisce al decryptor di procurarsi la chiave e il file rimane bloccato.

Per aiutare le vittime che in questa situazione hanno perso i loro file, oltre a una considerevole quantità di denaro, gli esperti hanno rilasciato un decryptor gratuito che risolve il problema e salva i file interessaticon successo. Sfortunatamente, per funzionare richiede ancora la chiave di decrittazione posseduta dagli hacker di RansomExx.

La situazione con RansomExx Linus Ransomware mostra che pagare gli hacker non è una soluzione praticabile, poiché comporta comunque enormi rischi. I decryptor potrebbero non funzionare correttamente o potrebbero trasportare ulteriori payload danneggiati che verranno consegnati al sistema. Nel frattempo, gli aggressori potrebbero utilizzare i fondi del riscatto per iniziare a pianificare la loro prossima operazione nefasta.