Waarschuwing! Ryuk Decryptor kan geen volledig herstel beloven
De Ryuk-ransomware is de afgelopen jaren berucht geworden en heeft honderden miljoenen aan losgeld voor zijn makers verzameld. De Ryuk-ransomware is gericht op zowel de particuliere als de publieke sector en codeert bestanden op het geïnfecteerde netwerk met een combinatie van AES en RSA.
Een van de redenen voor het aanhoudende succes van de Ryuk-ransomware is dat de makers ervan door de jaren heen niet zijn gestopt met verbeteren en evolueren. In het afgelopen jaar hebben we meerdere nieuwe functies aan de Ryuk-ransomware zien worden toegevoegd, waardoor het een nog grotere bedreiging werd dan voorheen.
Een van de nieuwe functies die nog niet zo goed is gedocumenteerd, is het vermogen van Ryuk om bestanden gedeeltelijk te coderen. Wanneer de Ryuk-ransomware een bestand tegenkomt dat groter is dan 54,4 megabytes, codeert het alleen bepaalde delen ervan, in een poging tijd te besparen en onopgemerkt te blijven voordat het zoveel mogelijk gegevens codeert. Bestanden die op deze manier zijn gecodeerd, hebben aan het eind een iets andere voettekst, waar de RSA-gecodeerde AES-sleutel die voor de codering wordt gebruikt, meestal wordt opgeslagen.
Er zijn enkele wijzigingen aangebracht in de manier waarop de lengte van de voettekst wordt berekend in een van de meest recente versies van de Ryuk-ransomware. Als gevolg hiervan zal de decryptor die de dreigingsactoren naar slachtoffers sturen die het losgeld hebben betaald, de bestanden inkorten en een byte in het decryptieproces afsnijden. Dit is mogelijk geen probleem, afhankelijk van het type bestandstype. Soms zijn deze laatste bytes slechts opvulmateriaal en bevatten ze geen gegevens. Oracle-databasebestanden en bepaalde virtuele schijftypebestanden, zoals VHD / VHDX, slaan echter essentiële gegevens op in die laatste byte, waardoor de bestanden onbruikbaar worden, zelfs na decodering.
Wat nog erger is, is dat je bepaalde bestanden misschien nooit kunt herstellen, zelfs niet nadat je het losgeld hebt betaald. Dat komt omdat de decryptor die wordt aangeboden door de bedreigingsactoren achter de Ryuk-ransomware de gecodeerde versies van de bestanden verwijdert nadat deze ze hebben "gedecodeerd", wat betekent dat je misschien vastloopt met een gebroken bestand en geen manier om het te herstellen. Een van de manieren om dat te voorkomen, is om niet te onderhandelen met cyberboeven en een andere manier vinden om uw bestanden te decoderen. Het is in elk geval een goed idee om een back-up van de gecodeerde gegevens te maken, voor het geval er iets misgaat tijdens het decoderingsproces.