Ryuk マルウェアの被害者は、ビットコインで身代金を支払ったにもかかわらず、暗号化されたデータをすべて回復することができなくなりました。セキュリティ会社 Emsisoft は問題の原因を特定しました。ハッカーが提供した復号化ツールのバグによりファイルが破損し、読み取れなくなるというものです。
数か月間、恐るべきランサムウェアの洗礼名は RyukWindows上で蔓延しています。データへのアクセスを取り戻すためにビットコインで身代金を支払うことを強いられた被害者。しかし、しばらくの間、戦利品の代金を支払うことはほとんど役に立たなくなったと、Emsisoft 社の研究者は警告しています。復元されたいくつかのファイルは、ハッカーが提供した復号化ツールのせいで、実際には使用できなくなりました。
研究者らはブログ投稿で、Ryuk ランサムウェアの最新バージョンでは 54.4 メガバイトを超えるファイルの処理方法が異なると説明しています。できるだけ多くのデータをできるだけ早くブロックするために、マルウェアはこのサイズを超えるファイルを部分的にのみ暗号化します。部分的に暗号化されたデータの処理方法は異なります。ファイルの最後には、Ryuk が AES キーを保存します。メガバイトのブロック数を示すマーカーもあります。
これにより、意図しない結果が生じました。 「Ryuk の作者が提供する復号化ツールはファイルを切り詰め、復号化プロセスで多くのバイトを切り捨てます。»、研究者が説明します。 「正確なファイルの種類によっては、重大な問題が発生する場合とそうでない場合があります。」攻撃者が提供したツールでロックを解除した後でも、これらのファイルが破損し、正しく読み込まれなくなる可能性があることは明らかです。
こちらもお読みください:ランサムウェアでフランスの120病院が麻痺
2 番目の問題は、復号化ツールが元のファイルを削除してしまうことです。したがって、バグのない復号器を使用しても、被害者は回復操作を再開できません。修正を待っている間、影響を受ける個人または企業は次のような危険にさらされます。永久的なデータ損失。このような事態を防ぐ最善の方法は、重要なデータのバックアップを定期的に作成することだと研究者らは推奨しています。
ソース :Emsisoft マルウェア ラボ
