Avertissement! Ryuk Decryptor ne peut pas promettre une récupération complète
Le rançongiciel Ryuk est devenu notoire au cours des dernières années, récoltant des centaines de millions de rançons pour ses créateurs. Le rançongiciel Ryuk a ciblé les secteurs privé et public, en chiffrant les fichiers sur le réseau infecté avec une combinaison d'AES et de RSA.
L'une des raisons du succès persistant du ransomware Ryuk est que ses créateurs n'ont cessé de l'améliorer et de le faire évoluer au fil des ans. Au cours de la dernière année, nous avons vu plusieurs nouvelles fonctionnalités ajoutées au rançongiciel Ryuk, ce qui en fait une menace encore plus grande qu'auparavant.
L'une des nouvelles fonctionnalités qui n'ont pas été aussi bien documentées est la capacité de Ryuk à crypter partiellement les fichiers. À chaque fois que le ransomware Ryuk rencontre un fichier de plus de 54,4 mégaoctets, il n'en crypte que certaines parties, afin de gagner du temps et de passer inaperçu avant de crypter autant de données que possible. Les fichiers cryptés de cette manière auront un pied de page légèrement différent à la fin, où la clé AES cryptée RSA utilisée pour le cryptage est généralement stockée.
Certaines modifications ont été apportées à la façon dont la longueur du pied de page est calculée dans l'une des versions les plus récentes du ransomware Ryuk. En conséquence, le décrypteur que les acteurs de la menace envoient aux victimes qui ont payé la rançon tronquera les fichiers, coupant un octet dans le processus de décryptage. Cela peut ne pas être un problème, selon le type du type de fichier. Parfois, ces derniers octets ne sont que du remplissage et ne contiennent aucune donnée. Cependant, les fichiers de base de données Oracle et certains fichiers de type de disque virtuel, comme VHD / VHDX, stockent les données essentielles dans ce dernier octet, rendant les fichiers inutilisables, même après décryptage.
Ce qui est encore pire, c'est que vous pourriez ne jamais récupérer certains fichiers, même après avoir payé la rançon. C'est parce que le décrypteur fourni par les acteurs de la menace derrière le rançongiciel Ryuk supprime les versions cryptées des fichiers après les avoir "décryptés", ce qui signifie que vous pourriez être bloqué avec un fichier cassé et aucun moyen de le récupérer. Une des façons d'éviter cela est de ne pas négocier avec les cyber-escrocs et de trouver un autre moyen de décrypter vos fichiers. Dans tous les cas, avant de tenter une récupération, ce serait une bonne idée de faire des sauvegardes des données chiffrées, au cas où quelque chose se passerait pendant le processus de déchiffrement.