Ryuk ransomware: o aplicativo do decodificador contém um erro que causa perda de dados

Ryuk ransomwareA empresa de software antivírus Emsisoft, Ele descobriu um erro no aplicativo de decodificador Ryuk ransomware. Esta é a aplicação que os hackers dão às vítimas recuperar seus arquivos, após o ataque, com a condição de que tenham pago o resgate.

Segundo os pesquisadores, esse erro não permite que o aplicativo restaure totalmente todos os tipos de arquivos, resultando na perda de parte dos dados de vítimas, mesmo que tenham pago o resgate.

A Emsisoft disse em um post no blog que isso se devia a isso O aplicativo decrypter corta um byte do final de cada arquivo descriptografado.

Normalmente, o último byte nos arquivos não é necessário. Mas, em algumas extensões de arquivo, esses bytes contêm informações críticas. Isso significa que, se removidos, os dados estão corrompidos e o arquivo não é aberto.

“Muitos arquivos, como VHD / VHDX e muitos arquivos de banco de dados, como os da Oracle, armazenam informações importantes neste último byte e não poderão carregar arquivos danificados após a descriptografia”, disse Emsisoft.

Os pesquisadores disseram que identificaram o erro no aplicativo de descriptografia do Ryuk ransomware e foram capazes de “corrigi-lo” para que o último byte não fosse cortado.

No entanto, há outro problema.

O segundo e mais importante problema é que o aplicativo de descriptografia usado pelos hackers por trás do Ryuk, exclui os arquivos criptografados originais, o que significa que as vítimas não podem retomar o processo de descriptografia novamente com um descriptografador “fixo”.

É por isso que os pesquisadores da Emsisoft emitiram uma declaração urgente enfatizando que as vítimas devem fazer uma cópia dos arquivos criptografados para poder acessar os arquivos em caso de falha da ferramenta de descriptografia de gangues Ryuk.

“Esperamos resolver a situação o mais rápido possível, para que as organizações afetadas evitem a perda de dados”, disse Brett Callow, porta-voz da Emsisoft.

A Emsisoft disse que as vítimas podem entrar em contato com pesquisadores através do endereço [email protected] para receber qualquer ajuda sobre o assunto. Contudo, Os pesquisadores terão que pagar por esse trabalho, pois é um processo difícil e demorado.

Ryuk é um dos ransomwares mais populares. Destina-se principalmente às redes comerciais e usa outro malware para infectar inicialmente e obter acesso à rede. Geralmente é combinado com cavalos de Troia Emoções e TrickBot.