Kelių įrenginių licencijos (tūrinės nuolaidos)
Computer Security Įspėjimas! „Ryuk“ dešifruotojas negali pažadėti visiško...

Įspėjimas! „Ryuk“ dešifruotojas negali pažadėti visiško pasveikimo

Autorius GoldSparrow, Computer Security
Versti į:
Lietuvių

ryuk ransomware duomenys iššifruotiRyuk " išpirkos programinė įranga per pastaruosius kelerius metus tapo menkai pagarsėjusi ir šimtus milijonų išpirkos mokėjo savo kūrėjams. „Ryuk" išpirkos programinė įranga buvo skirta tiek privačiam, tiek viešajam sektoriams, užkoduojant užkrėsto tinklo failus naudojant AES ir RSA derinį.

Viena iš nuolatinės „Ryuk" išpirkos programų sėkmės priežasčių yra ta, kad jos kūrėjai per tuos metus nesustojo tobulinti ir tobulinti. Tiesiog per pastaruosius metus matėme, kad į „Ryuk" išpirkos programinę įrangą pridedama daug naujų funkcijų, todėl ji tampa dar didesne grėsme, nei buvo anksčiau.

Viena iš naujų funkcijų, kurios nebuvo taip gerai dokumentuotos, yra „Ryuk" galimybė iš dalies užšifruoti failus. Kai „Ryuk" išpirkos programa aptinka didesnį nei 54,4 megabaitų failą, ji užšifruos tik tam tikras jo dalis, bandydama sutaupyti laiko ir likti nepastebėta prieš užšifruodama kiek įmanoma daugiau duomenų. Tokiu būdu užšifruoti failai pabaigoje bus šiek tiek kitokios poraštės, kur paprastai saugomas šifruoti naudojamas RSA užšifruotas AES raktas.

Vienoje iš naujausių „Ryuk" išpirkos programų versijų buvo atlikta keletas pakeitimų, kaip apskaičiuoti poraštės ilgį. Dėl to iššifruotojas, kurį grėsmės veikėjai siunčia aukoms, išmokėjusioms išpirką, sutrumpins bylas ir iššifruos baitą. Priklausomai nuo failo tipo, tai gali būti ne problema. Kartais šie paskutiniai baitai yra tiesiog užpildyti ir juose nėra duomenų. Tačiau „Oracle" duomenų bazės failai ir tam tikri virtualiojo disko tipo failai, tokie kaip „VHD" / „VHDX", saugo būtiniausius duomenis tame paskutiniame baite, todėl failai tampa netinkami naudoti net ir po iššifravimo.

Dar blogiau yra tai, kad niekada negalėsite atkurti tam tikrų failų, net ir sumokėję išpirką. Taip yra todėl, kad iššifravimo priemonė, kurią pateikė grėsmės veikėjai už „Ryuk" išpirkos programinę įrangą, ištrina užšifruotas failų versijas, kai ji „iššifravo" jas, tai reiškia, kad galite būti užstrigę sugadintu failu ir neturite galimybės jo atkurti. Vienas iš būdų to išvengti yra nesiderėti su elektroniniais sukčiais ir rasti kitą būdą iššifruoti failus. Bet kokiu atveju, prieš bandant atkurti, būtų gerai pasidaryti užšifruotų duomenų atsargines kopijas, jei iššifravimo proceso metu kažkas negerai.

Įkeliama...