A ferramenta para decifrar ficheiros comprometidos pelo Ryuk é fornecida pelos agentes de ameaças por trás do ransomware às vítimas quando estas pagam os resgates dos dados comprometidos.
De acordo com uma publicação da Emisoft, um bug no modo como a ferramenta decifra os ficheiros outrora cifrados pode levar a recuperações incompletas – e algo que parece não ter sido intencional no seu desenvolvimento.
O decypter trunca um byte do final de cada ficheiro que decifra, que para alguns tipos de ficheiros contém informações que, se removidas, causaram a perda definitiva do ficheiro.
“Essentially, whenever Ryuk encounters a file that is larger than 57,000,000 bytes (or 54.4 megabytes) it will only encrypt certain parts of it in order to save time and allow it to work its way through the data as quickly as possible before anyone notices.” reads the post published by Emsisoft.
“The code used by Ryuk to determine how much of a file to encrypt if the file exceeds a size limit of 57,000,000 bytes. Files that are only partially encrypted will show a slightly different-than-normal footer at the end of the file, where Hermes usually stores the RSA-encrypted AES key that was used to encrypt the file’s content.”
Especialistas apontaram que ficheiros como VHD / VHDX, ou ficheiros de base de dados Oracle contêm dados importantes nesse último byte.
Os ficheiros parcialmente cifrados apenas apresentam um rodapé ligeiramente diferente do normal no final do ficheiro. A string Hermes geralmente armazena a chave AES cifrada pelo RSA que foi usada para cifrar o conteúdo do ficheiro.
Files that are only partially encrypted will show a slightly different-than-normal footer at the end of the file, where Hermes usually stores the RSA-encrypted AES key that was used to encrypt the file’s content. In addition to the HERMES files marker used by Ryuk, you will also find a clearly visible counter of how many 1,000,000 bytes blocks have been encrypted for this file. If that indicator is missing, the whole file is considered to be encrypted.
Os especialistas da Emsisoft anunciaram que são capazes de corrigir o bug no decrypter do Ryuk. Eles explicaram que o decrypter Ryuk também exclui os ficheiros cifrados originais, isso significa que se as vítimas executaram a versão defeituosa, não será possível executar a versão corrigida novamente para decifrar os ficheiros.
Por esse motivo, os especialistas aconselham a criar uma backup dos ficheiros cifrados, porque mais tarde ou mais cedo o ficheiros poderão ser recuperados.
“Please understand that this will only work if you still have copies or backups of your encrypted data, as the Ryuk decryptor will usually delete files it thinks were decrypted properly. Similarly, if you’ve paid for a decryptor but have yet to use it, don’t.” continues the post. “Please get in touch with us instead. Our tool will enable you to safely recover your data whereas the tool supplied by the bad actors will not.”
A Emsisoft disse anunciou que as vítimas podem entrar em contato via [email protected] para que os seus analistas remendem o decrypter que receberam dos operadores do Ryuk.
No entanto, embora a Emsisoft seja a empresa que lançou o maior número de “decrypters de ransomware gratuitos” no passado, este é um serviço pago, pois implica que os seus analistas trabalhem para corrigir cada decodificador em especial, uma tarefa que consome muito tempo.
One Reply to “Um erro no decrypter do Ryuk pode causar perda de dados em certos ficheiros”