پژوهشگران امنیتی Emsisoft هشدار دادند که بهروزرسانی اخیر باجافزار Ryuk منجر به آسیب دیدن فایلهای بزرگ رمزنگاریشده توسط این بدافزار میشود. باجافزار Ryuk که اولین بار در سال گذشته مشاهده شد، در حمله به بخش های عمومی و خصوصی استفاده شده است و معمولاً با استفاده از بدافزار موجود در شبکههای هدف مستقر میشود.
این بدافزار دادهها را بااستفاده از ترکیبی از RSA و AES رمزنگاری میکند و صدها میلیون دلار درآمد برای اپراتورهای خود به ارمغان آورده است. اپراتورهای Ryuk بدافزار خود را بهبود میبخشند و طی چند سال گذشته چند ویژگی جدید ازجمله قابلیت رمزنگاری جزئی فایلها را به آن اضافه کردهاند. این قابلیت هنگام مواجهه با فایلهای بزرگتر از ۵۷ میلیون بایت مفید خواهد بود، زیرا این بدافزار تنها بخشهای مشخص را رمزنگاری میکند تا در زمان صرفهجویی کند و فرآیند رمزنگاری را سریعتر انجام دهد تا از شناسایی جلوگیری کند.
بدافزار Ryuk از ایجادکنندهی فایل HERMES استفاده میکند که معمولاً کلید AES رمزنگاریشده با RSA را در انتهای فایل ذخیره میکند. بنابراین، زمانی که رمزنگاری جزئی انجام شد، این فایل یک فوتر متفاوت را نشان میدهد. علاوهبراین، این فایلها یک شمارندهی آشکار دارند که نشان میدهد چند بلوک یک میلیون بایتی رمزنگاری شده است. یکی از آخرین نسخههای Ryuk شامل تغییرات مربوط به روش محاسبهی طول فوتر است که موجب میشود رمزگشا در حین رمزگشایی با بریدن یک بایت اضافی فایلها را کوتاه کند.
بسته به نوع فایل، ممکن است این کار مسأله ایجاد کند. در برخی موارد، این بایت استفاده نمیشود، اما بسیاری از فایلهای دیسک مجازی مانند VHD یا VHDX و فایلهای پایگاه داده اطلاعات مهم را در آخرین بایت ذخیره میکنند که از بارگذاری شدن درست این فایلها پس از رمزگشایی جلوگیری میکند. پژوهشگران امنیتی بیان میکنند که این مسأله احتمالاً کاربرانی را که طی دو هفتهی گذشته قربانی Ryuk شدند، تحت تأثیر قرار میدهد. برای بررسی اینکه آیا این کاربران آسیب دیدهاند یا خیر، کاربران باید بررسی کنند که آیا فایلهایی را که بارگذاری نمیشوند، دارند یا خیر.
Emsisoft بیان میکند که میتواند با ارائهی یک رمزگشای درست برای قربانیان به آنها کمک کند، اما تنها درصورتیکه نسخهی رونوشت یا پشتیبان از دادهی رمزنگاریشده داشته باشند. پژوهشگران امنیتی بیان میکنند که بهطور مشابه، در صورتیکه کاربران هزینهی یک رمزگشا را پرداخت کرده باشند، اما از آن استفاده نکرده باشند، قبل از اجرای آن از فایلهای خود پشتیبان تهیه کنند یا با شرکت در تماس باشند. ابزار این شرکت به کاربران اجازه خواهد داد تا دادههای خود را بازیابی کنند، درحالیکه ابزار تهیهشده توسط مهاجمان این کار را انجام نمیدهد. بااینحال، ابزار رمزگشایی Emsisoft نیاز به پرداخت باج را حذف میکند، اما بهسادگی جایگزین ابزار تهیهشده توسط مجرمان میشود.