Η εταιρεία κατασκευής antivirus λογισμικών, Emsisoft, ανακάλυψε ένα σφάλμα στο decrypter app του Ryuk ransomware. Πρόκειται για την εφαρμογή, που δίνουν οι hackers στα θύματα για να ανακτήσουν τα αρχεία τους, μετά την επίθεση, με την προϋπόθεση ότι έχουν πληρώσει τα λύτρα.
Σύμφωνα με τους ερευνητές, αυτό το σφάλμα δεν επιτρέπει στην εφαρμογή να επαναφέρει πλήρως όλους τους τύπους αρχείων, με αποτέλεσμα τα θύματα να χάνουν κάποια δεδομένα τους, παρόλο που έχουν πληρώσει τα λύτρα.
Η Emsisoft είπε σε ένα blog post ότι αυτό οφείλεται στο ότι το decrypter app περικόπτει ένα byte από το τέλος κάθε αρχείου που αποκρυπτογραφεί.
Συνήθως, το τελευταίο byte στα αρχεία δεν είναι απαραίτητο. Αλλά, σε ορισμένες επεκτάσεις αρχείων αυτά τα bytes περιέχουν κρίσιμες πληροφορίες. Αυτό σημαίνει ότι αν αφαιρεθούν, καταστρέφονται τα δεδομένα και το αρχείο δεν ανοίγει.
“Πολλά αρχεία, όπως τα VHD / VHDX καθώς και πολλά database αρχεία, όπως αυτά της Oracle, αποθηκεύουν σημαντικές πληροφορίες στο τελευταίο αυτό byte και δεν θα μπορεί να γίνει φόρτωση των κατεστραμμένων αρχείων μετά την αποκρυπτογράφηση”, δήλωσε η Emsisoft.
Οι ερευνητές δήλωσαν ότι εντόπισαν το σφάλμα στο decrypter app του Ryuk ransomware και κατάφεραν να το “επιδιορθώσουν” ώστε να μην γίνεται η περικοπή του τελευταίου byte.
Ωστόσο, υπάρχει ένα άλλο πρόβλημα.
Το δεύτερο και σημαντικότερο πρόβλημα είναι ότι η εφαρμογή αποκρυπτογράφησης που χρησιμοποιούν οι hackers πίσω από το Ryuk, διαγράφει τα πρωτότυπα κρυπτογραφημένα αρχεία, το οποίο σημαίνει ότι τα θύματα δεν μπορούν να ξαναρχίσουν τη διαδικασία αποκρυπτογράφησης ξανά με ένα «fixed» decryptor.
Γι’ αυτό το λόγο, οι ερευνητές της Emsisoft έβγαλαν μια επείγουσα ανακοίνωση, στην οποία τονίζουν ότι τα θύματα θα πρέπει να δημιουργήσουν αντίγραφο των κρυπτογραφημένων αρχείων, ώστε να έχουν πρόσβαση στα αρχεία σε περίπτωση αποτυχίας του εργαλείου αποκρυπτογράφησης της συμμορίας Ryuk.
«Ελπίζουμε να ρυθμίσουμε την κατάσταση όσο το δυνατόν πιο γρήγορα, ώστε οι επηρεαζόμενοι οργανισμοί να αποφύγουν την απώλεια δεδομένων», δήλωσε ο εκπρόσωπος της Emsisoft, Brett Callow.
Η Emsisoft δήλωσε ότι τα θύματα μπορούν να επικοινωνήσουν με τους ερευνητές μέσω της διεύθυνσης ryukhelp@emsisoft.com για να λάβουν οποιαδήποτε βοήθεια γι’ αυτό το θέμα. Ωστόσο, οι ερευνητές θα χρειαστεί να πληρωθούν για τη δουλειά αυτή καθώς πρόκειται για μια δύσκολη και χρονοβόρα διαδικασία.
Το Ryuk είναι ένα από τα πιο διαδεδομένα ransomware. Στοχεύει, κυρίως, δίκτυα επιχειρήσεων και χρησιμοποιεί άλλο malware για την αρχική μόλυνση και την απόκτηση πρόσβασης στο δίκτυο. Συχνά, συνδυάζεται με τα trojans Emotet και TrickBot.
