Eksperci ostrzegają, by w przypadku infekcji ransomwarem Ryuk nie płacić okupu przestępcom. W związku z błędem aplikacji służącej do odszyfrowywania zarażonych Ryukiem plików nie jest możliwe odzyskanie dostępu do części danych. Firma Emsisoft opracowała własny dekryptor i prosi o kontakt w przypadku infekcji. Narzędzie stworzone przez przestępców zawiera błąd, który pozwala odszyfrować pliki nie większe niż 54.4MB.
Ryuk to jeden z najniebezpieczniejszych wykorzystywanych obecnie szczepów ransomware. Podobnie jak inne tego typu oprogramowanie, jest ono stosowane do wyłudzania okupu poprzez szyfrowanie zgromadzonych na komputerze danych. Kwoty żądane w atakach z wykorzystaniem Ryuka są z reguły dużo wyższe niż w przypadku innych tego typu incydentów. Mimo to część zdesperowanych ofiar decyduje się na zapłatę okupu, by uzyskać program, który pozwala odszyfrować zainfekowane pliki.
Jak się jednak okazuje, ugięcie się pod żądaniem przestępców nie gwarantuje odzyskania dostępu do cennych danych. Specjaliści z firmy Emsisoft odnaleźli w aplikacji do odszyfrowywania poważny błąd. Polega on na tym, że algorytm w trakcie pracy ucina pierwszy i ostatni bajt poszczególnych plików. W większości przypadków nie powoduje to żadnych problemów, gdyż utracone dane nie zawierają istotnych informacji, jednak w przypadku niektórych formatów plików, np. VHD i VHDX, może to uniemożliwić ich poprawny odczyt. Sprawę dodatkowo komplikuje fakt, że w trakcie swojej pracy narzędzie usuwa pliki źródłowe. Oznacza to, że procedury odszyfrowywania nie można drugi raz powtórzyć, a część danych zostaje bezpowrotnie utracona.
Nie tylko Ryuk niszczy dane
Nie jest to pierwszy incydent tego typu, kiedy na skutek błędu twórców zagrożenia dane zaszyfrowane przez ransomware są nie do odzyskania. W 2016 roku głośny był przypadek szczepu RANSOM_CRYPTEAR.B, który z powodu pomyłki programisty szyfrował nie tylko pliki użytkownika, ale również plik z kluczem, niezbędny do ich odzyskania. Ważną przestrogą powinien być także incydent z udziałem ransomware NotPetya z 2017 roku, kiedy to oprogramowanie Petya zostało celowo zmodyfikowane przez grupę stojącą za atakiem w taki sposób, by dane na zainfekowanych komputerach były nie do odzyskania.
Zdaniem Piotra Zielaskiewicza, Product Managera STORMSHIELD w firmie DAGMA Bezpieczeństwo IT, tego typu incydenty to tylko jeden z argumentów za tym, by w razie ataku ransomware nigdy nie płacić przestępcom okupu.
Płacąc przestępcom nie tylko nigdy nie mamy pewności czy odzyskamy zaszyfrowane dane. Zachęcamy ich także do tego, by dalej kontynuowali swoją działalność. Szkodzi to nie tylko nam, jako ofiarom, ale również zwiększa ryzyko ataków w przyszłości. W przypadku problemów z ransomware dużo lepiej zapobiegać, niż leczyć. Z tego powodu zawsze warto mieć pod ręką aktualny backup najważniejszych plików, oraz korzystać z poprawnie skonfigurowanego rozwiązania UTM lub next-generation firewall, które pomoże nam powstrzymać większość tego typu incydentów.
– wyjaśnia Piotr Zielaskiewicz.
