在过去的几年里,Ryuk一直困扰着公共部门和私营部门,为背后的罪犯带来了数亿英镑的赎金收入。Ryuk通常是通过目标网络中现有的恶意软件感染进行部署的,它会对可访问的任何系统造成严重破坏,并使用RSA和AES的组合对数据进行加密。
但是,仅仅因为Ryuk取得了巨大的成功,并不意味着它的创造者就停止了发展和改进它。因此,在过去的一年中我们看到Ryuk添加了多个新功能也就不足为奇了。
尚未充分记录的这些功能之一是其部分加密文件的功能。本质上,每当Ryuk遇到一个大于57,000,000字节(或54.4兆字节)的文件时,它只会对文件的某些部分进行加密,以节省时间并允许它在任何人注意到之前尽快地处理数据。
Ryuk用于确定文件超过57,000,000字节大小限制时要加密多少文件的代码
仅部分加密的文件将在文件末尾显示与正常页脚略有不同的页脚,爱马仕通常在该页脚中存储用于加密文件内容的RSA加密AES密钥。除了Ryuk使用的HERMES文件标记外,您还将发现一个清晰可见的计数器,该计数器已为该文件加密了1,000,000个字节的块。如果缺少该指示符,则将整个文件视为已加密。
Ryuk文件页脚的扩展版本突出显示了部分加密文件的加密块数
在Ryuk的较新版本中,对页脚长度的计算方式进行了更改。结果,由Ryuk作者提供的解密器将截断文件,从而在解密文件的过程中切断了太多字节。根据确切的文件类型,这可能会或可能不会导致重大问题。在 较佳情况下,被越野车解密器切断的字节未被使用,并且通过将文件与某些文件大小边界对齐而在较后创建了一些松弛空间。但是,许多虚拟磁盘类型文件(例如VHD / VHDX)以及许多数据库文件(例如Oracle数据库文件)将在较后一个字节中存储重要信息,并且以这种方式损坏的文件在解密后将无法正确加载。
我们在Emsisoft提供的服务之一是帮助支付了赎金的勒索软件受害者恢复其文件,即使该勒索软件作者由于不合作或提供无法正常工作的工具而使它们挂起,这两种情况越来越普遍结果。
因此,如果您是过去两周内遭到袭击的Ryuk受害者,并且文件无法加载,请与我们联系,以便我们为您提供可以正常使用的解密器。请理解,这仅在您仍具有加密数据的副本或备份的情况下才有效,因为Ryuk解密程序通常会删除它认为已正确解密的文件。同样,如果您已经购买了解密器但还没有使用它,请在运行它之前备份您的文件,或者与我们联系。我们的工具将使您能够安全地恢复数据,而不良行为者提供的工具则无法。
请注意,我们的解密工具并不能消除支付赎金的需要;它只是犯罪分子提供的工具的替代品。
较后的建议是:在运行任何勒索软件解密器之前,无论它是由不良行为者还是由安全公司提供的,请确保首先备份加密的数据。如果该工具无法按预期工作,则可以重试。
西数科技: 司法鉴定/产品质量鉴定/检验检测/数据恢复专家. 4006184118
