В обновленной версии вымогателя Ryuk был незначительно изменен алгоритм шифрования файлов, из-за чего декриптор, который злоумышленники предоставляют жертвам после получения выкупа, может работать некорректно. Об этом сообщили специалисты компании Emsisoft, которые проанализировали ошибку вирусописателей и берутся по запросу ее исправить. Эта услуга платная, так как экспертам придется по отдельности работать с каждым декриптором, предоставленным жертве в обмен на выкуп.

Почему декриптор Ryuk не восстанавливает файлы

Как выяснили аналитики, примерно две недели назад авторы Ryuk внесли в его код изменения, связанные с вычислением длины нижнего колонтитула закодированного объекта. Обычно там хранятся зашифрованные AES-ключи, а также располагается информация о количестве блоков, измененных зловредом. Это важные сведения, поскольку для ускорения работы вымогатель не шифрует полностью файлы размером более 54,4 Мб, а кодирует не более 2000 блоков по миллиону байт каждый.

Очевидно, создатели Ryuk не учли этих изменений при разработке нового декриптора. По мнению исследователей, программа, которую получает жертва после уплаты выкупа, может обрезать некоторое количество байтов в конце больших файлов. В ряде случаев это не повлияет на целостность содержимого, однако некоторые типы данных будут повреждены. С точки зрения дешифратора обработка таких объектов будет завершена корректно, однако использовать их будет уже нельзя. Это касается, например, критически важных файлов баз данных Oracle, а также образов виртуального диска в формате VHD/VHDX.

Ситуация усугубляется тем, что декриптор Ryuk удаляет зашифрованные копии файлов после восстановления. ИБ-специалисты рекомендуют обязательно создавать резервную копию преобразованного объекта, прежде чем запускать процесс декодирования. Эксперты Emsisoft создали платный сервис, который помогает пользователям, уже заплатившим выкуп, корректно восстановить большие файлы.

Жителям России не стоит опасаться атак Ryuk — как стало известно летом этого года, авторы зловреда добавили в его код запрет на заражение компьютеров с IP-адресами РФ. Дополнительно шифровальщик проверяет имя устройства и прекращает работу, если встречает в нем последовательности символов MSK и SPB.

Категории: Аналитика, Вредоносные программы