儘管支付了比特幣贖金,Ryuk 惡意軟體的受害者仍無法恢復所有加密資料。安全公司 Emsisoft 已經確定了問題的根源:駭客提供的解密工具中的一個錯誤導致檔案損壞,使其無法讀取。
幾個月來,一股強大的力量勒索軟體命名為 Ryuk在 Windows 上十分猖獗。受害者被迫支付比特幣贖金才能重新存取其數據。然而,Emsisoft 公司的研究人員警告說,一段時間以來,為戰利品付費幾乎變得毫無用處。事實上,一些恢復的檔案不再可用,這是駭客提供的解密工具的錯誤。
研究人員在部落格文章中解釋說,最新版本的 Ryuk 勒索軟體以不同方式處理大於 54.4 MB 的檔案。為了盡快阻止盡可能多的數據,惡意軟體僅部分加密大於此大小的檔案。部分加密的資料有不同的處理方式。文件末尾是 Ryuk 儲存 AES 密鑰的位置。還有一個兆位元組區塊數的標記。
這造成了意想不到的後果。 “Ryuk作者提供的解密器會截斷文件,在解密過程中切斷太多位元組», 解釋研究者。 “根據特定的文件類型,這可能會也可能不會導致重大問題。”顯然,即使被攻擊者提供的工具解鎖,這些檔案也可能會被損壞並且不再正確載入。
另請閱讀:勒索軟體導致法國 120 家醫院癱瘓
第二個問題是解密器刪除了原始檔案。因此,即使使用無錯誤的解密器,受害者也無法重新啟動恢復操作。在等待修復期間,任何受影響的個人或公司都會面臨永久資料遺失。研究人員建議,防止此類事件的最佳方法是定期備份重要資料。
來源 :Emsisoft 惡意軟體實驗室
