Zapłaciłeś okup? Tym razem nie odzyskasz wszystkich danych!

13 grudnia, 2019

Eksperci ostrzegają, by w przypadku infekcji ransomwarem Ryuk nie płacić okupu przestępcom. W związku z błędem aplikacji służącej do odszyfrowywania zarażonych Ryukiem plików nie jest możliwe odzyskanie dostępu do części danych. Firma Emsisoft opracowała własny dekryptor i prosi o kontakt w przypadku infekcji. Narzędzie stworzone przez przestępców zawiera błąd, który pozwala odszyfrować pliki nie większe niż 54.4MB.

Ryuk to jeden z najniebezpieczniejszych wykorzystywanych obecnie szczepów ransomware. Podobnie jak inne tego typu oprogramowanie, jest ono stosowane do wyłudzania okupu poprzez szyfrowanie zgromadzonych na komputerze danych. Kwoty żądane w atakach z wykorzystaniem Ryuka są z reguły dużo wyższe niż w przypadku innych tego typu incydentów. Mimo to część zdesperowanych ofiar decyduje się na zapłatę okupu, by uzyskać program, który pozwala odszyfrować zainfekowane pliki.

Jak się jednak okazuje, ugięcie się pod żądaniem przestępców nie gwarantuje odzyskania dostępu do cennych danych. Specjaliści z firmy Emsisoft odnaleźli w aplikacji do odszyfrowywania poważny błąd. Polega on na tym, że algorytm w trakcie pracy ucina pierwszy i ostatni bajt poszczególnych plików. W większości przypadków nie powoduje to żadnych problemów, gdyż utracone dane nie zawierają istotnych informacji, jednak w przypadku niektórych formatów plików, np. VHD i VHDX, może to uniemożliwić ich poprawny odczyt. Sprawę dodatkowo komplikuje fakt, że w trakcie swojej pracy narzędzie usuwa pliki źródłowe. Oznacza to, że procedury odszyfrowywania nie można drugi raz powtórzyć, a część danych zostaje bezpowrotnie utracona.

Nie tylko Ryuk niszczy dane

Nie jest to pierwszy incydent tego typu, kiedy na skutek błędu twórców zagrożenia dane zaszyfrowane przez ransomware są nie do odzyskania. W 2016 roku głośny był przypadek szczepu RANSOM_CRYPTEAR.B, który z powodu pomyłki programisty szyfrował nie tylko pliki użytkownika, ale również plik z kluczem, niezbędny do ich odzyskania. Ważną przestrogą powinien być także incydent z udziałem ransomware NotPetya z 2017 roku, kiedy to oprogramowanie Petya zostało celowo zmodyfikowane przez grupę stojącą za atakiem w taki sposób, by dane na zainfekowanych komputerach były nie do odzyskania.

Zdaniem Piotra Zielaskiewicza, Product Managera STORMSHIELD w firmie DAGMA Bezpieczeństwo IT, tego typu incydenty to tylko jeden z argumentów za tym, by w razie ataku ransomware nigdy nie płacić przestępcom okupu.

­Płacąc przestępcom nie tylko nigdy nie mamy pewności czy odzyskamy zaszyfrowane dane. Zachęcamy ich także do tego, by dalej kontynuowali swoją działalność. Szkodzi to nie tylko nam, jako ofiarom, ale również zwiększa ryzyko ataków w przyszłości. W przypadku problemów z ransomware dużo lepiej zapobiegać, niż leczyć. Z tego powodu zawsze warto mieć pod ręką aktualny backup najważniejszych plików, oraz korzystać z poprawnie skonfigurowanego rozwiązania UTM lub next-generation firewall, które pomoże nam powstrzymać większość tego typu incydentów.

– wyjaśnia Piotr Zielaskiewicz.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]