警告！ Ryuk解密器无法保证完全恢复

在过去的几年里， Ryuk勒索软件已经臭名昭著，为其创建者支付了数亿美元的赎金。 Ryuk勒索软件针对私人和公共部门，使用AES和RSA组合对受感染网络上的文件进行加密。

Ryuk勒索软件持续取得成功的原因之一是，多年来，它的创造者一直没有停止对其进行改进和发展。就在过去的一年中，我们已经看到Ryuk勒索软件中添加了多个新功能，这使它成为比以前更大的威胁。

Ryuk具有部分加密文件的功能，但尚未充分记录在案的新功能之一。每当Ryuk勒索软件遇到大于54.4兆字节的文件时，它只会对文件的某些部分进行加密，以节省时间，并且在加密尽可能多的数据之前不会引起注意 。以这种方式加密的文件结尾处的页脚稍有不同，通常会在其中存储用于加密的RSA加密AES密钥。

在Ryuk勒索软件的最新版本之一中，对页脚长度的计算方式进行了一些更改。结果，威胁者发送给支付赎金的受害者的解密器将截断文件，从而在解密过程中切断一个字节。根据文件类型的不同，这可能不是问题。有时，这些最后的字节只是填充而没有数据。但是，Oracle数据库文件和某些虚拟磁盘类型文件（例如VHD / VHDX）在最后一个字节中存储必需的数据，即使在解密后，这些文件也不可用。

更糟糕的是，即使您支付了赎金，也可能永远都无法恢复某些文件。这是因为Ryuk勒索软件背后的威胁参与者提供的解密器在"解密"文件后删除了文件的加密版本，这意味着您可能会遇到损坏的文件而无法恢复。避免这种情况的一种方法是不与网络骗子协商，而是寻找另一种解密文件的方法。无论如何，在尝试恢复之前，最好对加密的数据进行备份，以防在解密过程中出现问题。