RansomExx Linux Ransomware
Cyberbeveiligingonderzoekers hebben de ransomware-dreiging geanalyseerd die door de RansomExx Ransomware-hackers is ingezet en ontdekten dat het de versleutelingsroutine kan verknoeien. Het resultaat is dat zelfs nadat slachtoffers het geëiste losgeld aan de aanvallers hebben betaald en de decryptorsleutel en tool hebben ontvangen die geacht worden hun bestanden te herstellen, de gegevens nog steeds beschadigd, ontoegankelijk en uiteindelijk onbruikbaar kunnen blijven.
De RansomExx Linux Ransomware, zoals de naam al doet vermoeden, richt zich op Linux-systemen en vergrendelt de bestanden die daar zijn opgeslagen. Helaas is door een bewuste keuze of onbekendheid met Linux de codering van het versleutelingsproces niet goed doordacht. De infosec-onderzoekers ontdekten dat de dreiging de bestanden die het versleutelt niet vergrendeltmomenteel. Hierdoor kunnen nieuwe gegevens naar het bestand worden geschreven door een ander momenteel actief proces. Het eindresultaat is een bestand met versleutelde gegevens, aangevuld met een stuk niet-versleutelde gegevens.
Het probleem ontstaat wanneer de slachtoffers hebben besloten toe te geven en het geëiste bedrag aan de aanvallers te betalen, in de hoop hun gegevens zo snel mogelijk terug te krijgen. De speciale decoderingstool die van de dreigingsactor wordt ontvangen, ontsleutelt eerst de decoderingssleutel van elk bestand en gebruikt vervolgens de sleutel om het bestand zelf te herstellen. De aanwezigheid van normale gegevens die aan het einde van het bestand zijn toegevoegd, zorgt er echter voor dat de decryptor de sleutel niet kan verkrijgen en het bestand blijft vergrendeld.
Om slachtoffers te helpen die in deze situatie zowel hun bestanden als een aanzienlijk deel van het geld hebben verloren, hebben experts een gratis decryptor uitgebracht die het probleem verhelpt en de getroffen bestanden hersteltmet succes. Helaas heeft het nog steeds de decoderingssleutel van de RansomExx-hackers nodig om te werken.
De situatie met de RansomExx Linus Ransomware laat zien dat het betalen van de hackers geen haalbare oplossing is, omdat het nog steeds enorme risico's met zich meebrengt. De decryptors werken mogelijk niet goed of ze kunnen extra corrupte payloads bevatten die aan het systeem worden geleverd. Ondertussen konden de aanvallers het losgeld gebruiken om hun volgende snode operatie te plannen.
