Бесплатно Экспресс-аудит сайта:

11.12.2019

Дешифратор Ryuk повреждает расшифровываемые файлы

Специалисты компании Emsisoft обнаружили уязвимость в инструменте для восстановления файлов, зашифрованных вымогательским ПО Ryuk, из-за которой при попытке расшифровать файлы они повреждаются. Речь идет об инструменте, предоставляемом операторами Ryuk своим жертвам после того, как они заплатили выкуп.

Как пояснили специалисты, проблема заключается в том, что от конца каждого расшифровываемого файла дешифратор усекает по одному байту. В большинстве файлов последний байт не играет никакой роли, однако в некоторых расширениях файлов этот байт содержит важные данные, и его удаление необратимо повреждает файл. К таковым в частности относятся файлы VHD/VHDX, файлы баз данных (например, Oracle) и пр.

Экспертам Emsisoft удалось выяснить причину уязвимости и, по идее, они могут ее исправить. Тем не менее, все не так просто. Дело в том, что дешифратор удаляет зашифрованные версии файлов, поэтому пропустить их еще раз через уже исправленную версию инструмента невозможно. В связи с этим Emsisoft рекомендует жертвам Ryuk перед расшифровкой файлов сделать их резервные копии на случай, если в процессе расшифровки они будут повреждены.

Компания также рекомендует перед расшифровкой файлов отправить полученную от вымогателей версию дешифратора на анализ ее специалистам по электронному адресу yukhelp@emsisoft.com . Однако следует учитывать, что эта услуга является платной, поскольку исследователям нужно изучать каждый присланный образец отдельно.