باج‌افزار Ryuk بعد از به‌روزرسانی به فایل‌های بزرگ آسیب می‌رساند

پژوهش‌گران امنیتی Emsisoft هشدار دادند که به‌روزرسانی اخیر باج‌افزار Ryuk منجر به آسیب دیدن فایل‌های بزرگ رمزنگاری‌شده توسط این بدافزار می‌شود. باج‌افزار Ryuk که اولین بار در سال گذشته مشاهده شد، در حمله به بخش های عمومی و خصوصی استفاده شده است و معمولاً با استفاده از بدافزار موجود در شبکه‌های هدف مستقر می‌شود.

این بدافزار داده‌ها را بااستفاده از ترکیبی از RSA و AES رمزنگاری می‌کند و صدها میلیون دلار درآمد برای اپراتورهای خود به ارمغان آورده است. اپراتورهای Ryuk بدافزار خود را بهبود می‌بخشند و طی چند سال گذشته چند ویژگی جدید ازجمله قابلیت رمزنگاری جزئی فایل‌ها را به آن اضافه کرده‌اند. این قابلیت هنگام مواجهه با فایل‌های بزرگ‌تر از ۵۷ میلیون بایت مفید خواهد بود، زیرا این بدافزار تنها بخش‌های مشخص را رمزنگاری می‌کند تا در زمان صرفه‌جویی کند و فرآیند رمزنگاری را سریع‌تر انجام دهد تا از شناسایی جلوگیری کند.

بدافزار Ryuk از ایجادکننده‌ی فایل HERMES استفاده می‌کند که معمولاً کلید AES رمزنگاری‌شده با RSA را در انتهای فایل ذخیره می‌کند. بنابراین، زمانی که رمزنگاری جزئی انجام شد، این فایل یک فوتر متفاوت را نشان می‌دهد. علاوه‌براین، این فایل‌ها یک شمارنده‌ی آشکار دارند که نشان می‌دهد چند بلوک یک میلیون بایتی رمزنگاری شده است. یکی از آخرین نسخه‌های Ryuk شامل تغییرات مربوط به روش محاسبه‌ی طول فوتر است که موجب می‌شود رمزگشا در حین رمزگشایی با بریدن یک بایت اضافی فایل‌ها را کوتاه کند.

بسته به نوع فایل، ممکن است این کار مسأله ایجاد کند. در برخی موارد، این بایت استفاده نمی‌شود، اما بسیاری از فایل‌های دیسک مجازی مانند VHD یا VHDX و فایل‌های پایگاه داده اطلاعات مهم را در آخرین بایت ذخیره می‌کنند که از بارگذاری شدن درست این فایل‌ها پس از رمزگشایی جلوگیری می‌کند. پژوهش‌گران امنیتی بیان می‌کنند که این مسأله احتمالاً کاربرانی را که طی دو هفته‌ی گذشته قربانی Ryuk شدند، تحت تأثیر قرار می‌دهد. برای بررسی این‌که آیا این کاربران آسیب دیده‌اند یا خیر، کاربران باید بررسی کنند که آیا فایل‌هایی را که بارگذاری نمی‌شوند، دارند یا خیر.

Emsisoft بیان می‌کند که می‌تواند با ارائه‌ی یک رمزگشای درست برای قربانیان به آن‌ها کمک کند، اما تنها درصورتی‌که نسخه‌ی رونوشت یا پشتیبان از داده‌ی رمزنگاری‌شده داشته باشند. پژوهش‌گران امنیتی بیان می‌کنند که به‌طور مشابه، در صورتی‌که کاربران هزینه‌ی یک رمزگشا را پرداخت کرده باشند، اما از آن استفاده نکرده باشند، قبل از اجرای آن از فایل‌های خود پشتیبان تهیه کنند یا با شرکت در تماس باشند. ابزار این شرکت به کاربران اجازه خواهد داد تا داده‌های خود را بازیابی کنند، درحالی‌که ابزار تهیه‌شده توسط مهاجمان این کار را انجام نمی‌دهد. بااین‌حال، ابزار رمزگشایی Emsisoft نیاز به پرداخت باج را حذف می‌کند، اما به‌سادگی جایگزین ابزار تهیه‌شده توسط مجرمان می‌شود.

منبع

پست‌های مشابه

Leave a Comment