尽管支付了比特币赎金,Ryuk 恶意软件的受害者仍无法恢复所有加密数据。安全公司 Emsisoft 已经确定了问题的根源:黑客提供的解密工具中的一个错误导致文件损坏,使其无法读取。
几个月来,一股强大的力量勒索软件命名为 Ryuk在 Windows 上十分猖獗。受害者被迫支付比特币赎金才能重新访问其数据。然而,Emsisoft 公司的研究人员警告说,一段时间以来,为战利品付费几乎变得毫无用处。事实上,一些恢复的文件不再可用,这是黑客提供的解密工具的错误。
研究人员在博客文章中解释说,最新版本的 Ryuk 勒索软件以不同方式处理大于 54.4 MB 的文件。为了尽快阻止尽可能多的数据,恶意软件仅部分加密大于此大小的文件。部分加密的数据有不同的处理方式。文件末尾是 Ryuk 存储 AES 密钥的位置。还有一个兆字节块数的标记。
这造成了意想不到的后果。 “Ryuk作者提供的解密器会截断文件,在解密过程中切断太多字节», 解释研究人员。 “根据具体的文件类型,这可能会也可能不会导致重大问题。”显然,即使被攻击者提供的工具解锁,这些文件也可能会被损坏并且不再正确加载。
另请阅读:勒索软件导致法国 120 家医院瘫痪
第二个问题是解密器删除了原始文件。因此,即使使用无错误的解密器,受害者也无法重新启动恢复操作。在等待修复期间,任何受影响的个人或公司都会面临永久数据丢失。研究人员建议,防止此类事件的最佳方法是定期备份重要数据。
来源 :Emsisoft 恶意软件实验室
