Ostrzeżenie! Ryuk Decryptor nie może obiecać pełnego odzyskania

Oprogramowanie ransomware Ryuk stało się znane w ciągu ostatnich kilku lat, zgarniając setki milionów płatności okupowych dla jego twórców. Oprogramowanie ransomware Ryuk atakowało zarówno sektor prywatny, jak i publiczny, szyfrując pliki w zainfekowanej sieci za pomocą kombinacji AES i RSA.

Jednym z powodów trwałego sukcesu ransomware Ryuk jest to, że jego twórcy nie przestali go ulepszać i ewoluować przez lata. W ciągu ostatniego roku widzieliśmy wiele nowych funkcji dodawanych do oprogramowania ransomware Ryuk, co czyni je jeszcze większym zagrożeniem niż wcześniej.

Jedną z nowych funkcji, które nie zostały tak dobrze udokumentowane, jest możliwość częściowego szyfrowania plików przez Ryuka. Za każdym razem, gdy oprogramowanie ransomware Ryuk napotka plik większy niż 54,4 megabajtów, zaszyfruje tylko niektóre jego części, próbując zaoszczędzić czas i pozostać niezauważonym przed zaszyfrowaniem jak największej ilości danych. Pliki zaszyfrowane w taki sposób będą miały nieco inną stopkę na końcu, gdzie zwykle przechowywany jest szyfrowany RSA klucz AES używany do szyfrowania.

Wprowadzono pewne zmiany w sposobie obliczania długości stopki w jednej z najnowszych wersji oprogramowania ransomware Ryuk. W wyniku tego deszyfrator, który aktorzy zagrożeń wysyłają ofiarom, którzy zapłacili okup, obetnie pliki, odcinając bajt w procesie odszyfrowywania. W zależności od typu pliku może to nie stanowić problemu. Czasami te ostatnie bajty są tylko dopełnieniem i nie zawierają danych. Jednak pliki bazy danych Oracle i niektóre pliki typu dysku wirtualnego, takie jak VHD / VHDX, przechowują niezbędne dane w tym ostatnim bajcie, dzięki czemu pliki nie nadają się do użytku, nawet po odszyfrowaniu.

Co gorsza, możesz nigdy nie odzyskać niektórych plików, nawet po zapłaceniu okupu. Wynika to z faktu, że deszyfrator zapewniany przez podmioty odpowiedzialne za zagrożenie za ransomware Ryuk usuwa zaszyfrowane wersje plików po ich „odszyfrowaniu", co oznacza, że możesz utknąć z uszkodzonym plikiem i nie ma możliwości jego odzyskania. Jednym ze sposobów, aby tego uniknąć, jest nie negocjowanie z cyberprzestępcami i znalezienie innego sposobu na odszyfrowanie plików. W każdym razie, przed próbą odzyskania, dobrym pomysłem byłoby wykonanie kopii zapasowych zaszyfrowanych danych, na wypadek, gdyby coś poszło nie tak podczas procesu deszyfrowania.