RansomExx Linux Ransomware

La cyber-sécuritéles chercheurs ont analysé la menace de ransomware déployée par les pirates RansomExx Ransomware et ont découvert qu'il pouvait bâcler sa routine de cryptage. Le résultat est que même après que les victimes aient payé la rançon demandée aux attaquants et reçu la clé et l'outil de décryptage censés restaurer leurs fichiers, les données pourraient toujours rester endommagées, inaccessibles et finalement inutilisables.

Le RansomExx Linux Ransomware, comme son nom l'indique, cible les systèmes Linux et verrouille les fichiers qui y sont stockés. Malheureusement, en raison d'un choix délibéré ou d'une méconnaissance de Linux, le codage du processus de cryptage n'est pas bien pensé. Les chercheurs d'infosec ont découvert que la menace ne verrouille pas les fichiers qu'elle crypteactuellement. Cela permet à de nouvelles données d'être écrites dans le fichier par un autre processus actuellement actif. Le résultat final est un fichier avec des données cryptées ajoutées par un bloc de données non cryptées.

Le problème se pose lorsque les victimes ont décidé de céder et de payer le montant demandé aux attaquants, dans l'espoir de récupérer leurs données le plus rapidement possible. L'outil de décryptage dédié reçu de l'acteur de la menace décrypte d'abord la clé de décryptage de chaque fichier, puis utilise la clé pour restaurer le fichier lui-même. Cependant, la présence de données normales ajoutées à la fin du fichier fait que le décrypteur échoue dans l'obtention de la clé et le fichier reste verrouillé.

Pour aider les victimes qui, dans cette situation, ont à la fois perdu leurs fichiers, ainsi qu'une somme d'argent considérable, les experts ont publié un décrypteur gratuit qui résout le problème et récupère les fichiers concernés.avec succès. Malheureusement, il nécessite toujours la clé de déchiffrement détenue par les pirates RansomExx pour fonctionner.

La situation avec le RansomExx Linus Ransomware montre que payer les pirates n'est pas une solution viable, car il comporte toujours d'énormes risques. Les décrypteurs peuvent ne pas fonctionner correctement ou ils peuvent transporter des charges utiles corrompues supplémentaires qui seront livrées au système. Pendant ce temps, les attaquants pourraient utiliser les fonds de la rançon pour commencer à planifier leur prochaine opération néfaste.