Advarsel! Ryuk Decryptor kan ikke love full gjenoppretting
Ryuk ransomware har blitt beryktet de siste årene, og samlet inn hundrevis av millioner kroner i løsepenger for skaperne. Ryuk ransomware har målrettet både privat og offentlig sektor, kryptert filer på det infiserte nettverket med en kombinasjon av AES og RSA.
En av grunnene til den vedvarende suksessen med Ryuk ransomware er at skaperne ikke har sluttet å forbedre og utvikle den gjennom årene. I løpet av det siste året har vi sett flere nye funksjoner bli lagt til Ryuk ransomware, noe som gjør det til en enda større trussel enn den tidligere var.
En av de nye funksjonene som ikke har blitt så godt dokumentert, er Ryuks mulighet til å kryptere filer delvis. Hver gang Ryuk ransomware kommer over en fil som er større enn 54,4 megabyte, vil den kryptere bare visse deler av den, i et forsøk på å spare tid og forbli ubemerket før du krypterer så mye data som mulig. Filer som er kryptert på en slik måte, vil ha en litt annen bunntekst på slutten, der den RSA-krypterte AES-nøkkelen som brukes til krypteringen vanligvis lagres.
Det ble gjort noen endringer i hvordan lengden på bunnteksten beregnes i en av de nyeste versjonene av Ryuk ransomware. Som et resultat av dette vil dekrypteringen som trusselaktørene sender ut til ofre som har betalt løsepenger, avkorte filer, og kutte av en byte i dekrypteringsprosessen. Dette er kanskje ikke noe problem, avhengig av filtypen. Noen ganger er disse siste byteene bare polstring og inneholder ingen data. Imidlertid lagrer Oracle-databasefiler og bestemte filer av virtuell disk, som VHD / VHDX, viktige data i den siste byten, noe som gjør filene ubrukelige, selv etter dekryptering.
Det som er enda verre er at du kanskje aldri gjenoppretter bestemte filer, selv etter at du har betalt løsepenger. Det er fordi dekrypteren som tilbys av trusselaktørene bak Ryuk ransomware, sletter de krypterte versjonene av filene etter at den har "dekryptert" dem, noe som betyr at du kanskje sitter fast med en ødelagt fil og ingen måte å gjenopprette dem. En av måtene å unngå det på er å ikke forhandle med cyber-skurker og finne en annen måte å dekryptere filene dine. Uansett, før du prøver å gjenopprette det, ville det være en god idé å ta sikkerhetskopi av den krypterte dataen, i tilfelle noe skulle gå galt under dekrypteringsprosessen.