Computer Security 警告! Ryuk Decryptorは完全な復旧を約束できません

警告! Ryuk Decryptorは完全な復旧を約束できません

ryuk ransomware data decrypt Ryukランサムウェアは、過去数年間で悪名高くなり、作成者への身代金の支払いで数億を集めました。 Ryukランサムウェアは、AESとRSAの組み合わせを使用して、感染したネットワーク上のファイルを暗号化し、民間部門と公共部門の両方を標的にしています。

Ryukランサムウェアの永続的な成功の理由の1つは、その作成者が長年にわたって改善と進化を止めていないことです。過去1年間で、Ryukランサムウェアに複数の新機能が追加され、以前よりもさらに大きな脅威になっています。

十分に文書化されていない新機能の1つは、ファイルを部分的に暗号化するRyukの機能です。 Ryukランサムウェアが54.4メガバイトを超えるファイルに遭遇すると、時間を節約し、可能な限り多くのデータを暗号化する前に気付かれないように、特定の部分のみを暗号化します。このような方法で暗号化されたファイルには、最後にわずかに異なるフッターがあり、通常、暗号化に使用されるRSA暗号化AESキーが保存されます。

Ryukランサムウェアの最新バージョンの1つで、フッターの長さの計算方法にいくつかの変更が加えられました。この結果、脅威の攻撃者が身代金を支払った被害者に送信する解読者はファイルを切り捨て、解読プロセスでバイトを切り捨てます。ファイルタイプのタイプによっては、これは問題にならない場合があります。場合によっては、これらの最後のバイトは単にパディングであり、データが含まれていないことがあります。ただし、OracleデータベースファイルとVHD / VHDXなどの特定の仮想ディスクタイプファイルは、その最後のバイトに重要なデータを格納するため、暗号化解除後もファイルを使用できなくなります。

さらに悪いのは、身代金を支払った後でも、特定のファイルを回復できない可能性があることです。これは、Ryukランサムウェアの背後にある脅威アクターによって提供された復号化プログラムが、ファイルを「復号化」した後に暗号化されたファイルを削除するためです。これを回避する方法の1つは、サイバー詐欺師と交渉せず、ファイルを復号化する別の方法を見つけることです。いずれにせよ、復元を試みる前に、暗号化されたデータのバックアップを作成して、解読プロセス中に何かがうまくいかない場合に備えておくとよいでしょう。

読み込んでいます...