Дешифратор Ryuk повреждает расшифровываемые файлы

Дешифратор Ryuk повреждает расшифровываемые файлы

В инструменте, предоставляемом операторами Ryuk своим жертвам после того, как они заплатили выкуп, содержится уязвимость.

image

Специалисты компании Emsisoft обнаружили уязвимость в инструменте для восстановления файлов, зашифрованных вымогательским ПО Ryuk, из-за которой при попытке расшифровать файлы они повреждаются. Речь идет об инструменте, предоставляемом операторами Ryuk своим жертвам после того, как они заплатили выкуп.

Как пояснили специалисты, проблема заключается в том, что от конца каждого расшифровываемого файла дешифратор усекает по одному байту. В большинстве файлов последний байт не играет никакой роли, однако в некоторых расширениях файлов этот байт содержит важные данные, и его удаление необратимо повреждает файл. К таковым в частности относятся файлы VHD/VHDX, файлы баз данных (например, Oracle) и пр.

Экспертам Emsisoft удалось выяснить причину уязвимости и, по идее, они могут ее исправить. Тем не менее, все не так просто. Дело в том, что дешифратор удаляет зашифрованные версии файлов, поэтому пропустить их еще раз через уже исправленную версию инструмента невозможно. В связи с этим Emsisoft рекомендует жертвам Ryuk перед расшифровкой файлов сделать их резервные копии на случай, если в процессе расшифровки они будут повреждены.

Компания также рекомендует перед расшифровкой файлов отправить полученную от вымогателей версию дешифратора на анализ ее специалистам по электронному адресу yukhelp@emsisoft.com . Однако следует учитывать, что эта услуга является платной, поскольку исследователям нужно изучать каждый присланный образец отдельно.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle

Какие зарубежные новостные сайты по информационной безопасности вы читаете?