¡Precaución! El descifrador de Ryuk Ransomware daña archivos más grandes, incluso si paga
Ryuk ha afectado a los sectores público y privado por igual en los últimos años, generando cientos de millones de ingresos de rescate para los delincuentes detrás de él. Usualmente implementado a través de una infección de malware existente dentro de la red de un objetivo, Ryuk causa estragos en cualquier sistema al que se pueda acceder, encriptando datos usando una combinación de RSA y AES.
Sin embargo, el hecho de que Ryuk haya tenido un gran éxito no significa que sus creadores hayan dejado de evolucionar y mejorarlo. Por lo tanto, no sorprende que hayamos visto múltiples funciones nuevas agregadas a Ryuk durante el año pasado.
Una de estas características que no está bien documentada es su capacidad para cifrar parcialmente los archivos. Esencialmente, cada vez que Ryuk encuentra un archivo que es más grande que 57,000,000 bytes (o 54.4 megabytes) solo encriptará ciertas partes para ahorrar tiempo y permitirle avanzar a través de los datos lo más rápido posible antes de que alguien lo note.
The code used by Ryuk to determine how much of a file to encrypt if the file exceeds a size limit of 57,000,000 bytes
Los archivos que solo están parcialmente encriptados mostrarán un pie de página ligeramente diferente al normal al final del archivo, donde Hermes generalmente almacena la clave AES encriptada por RSA que se usó para encriptar el contenido del archivo. Además del marcador de archivos HERMES utilizado por Ryuk, también encontrará un contador claramente visible de cuántos bloques de 1,000,000 de bytes se han cifrado para este archivo. Si falta ese indicador, se considera que todo el archivo está encriptado.
The extended version of the Ryuk file footer highlighting the number of encrypted blocks for partially encrypted files
En una de las últimas versiones de Ryuk, se realizaron cambios en la forma en que se calcula la longitud del pie de página. Como resultado, el descifrador proporcionado por los autores de Ryuk truncará los archivos, cortando demasiados bytes en el proceso de descifrar el archivo. Dependiendo del tipo de archivo exacto, esto puede o no causar problemas importantes. En el mejor de los casos, el byte que fue cortado por el descifrador con errores no se usó y solo se creó un poco de espacio al final alineando el archivo hacia ciertos límites de tamaño de archivo. Sin embargo, muchos archivos de tipo de disco virtual como VHD / VHDX, así como una gran cantidad de archivos de bases de datos como los archivos de base de datos Oracle almacenarán información importante en ese último byte y los archivos dañados de esta manera no se cargarán correctamente después de que se descifren.
Uno de los servicios que brindamos en Emsisoft es ayudar a las víctimas de ransomware que pagaron el rescate para recuperar sus archivos, incluso si los autores del ransomware los dejaron colgados al no cooperar o al proporcionar herramientas que no hacen el trabajo correctamente, los cuales son cada vez más comunes resultados.
Entonces, si usted es una víctima de Ryuk que fue golpeada en las últimas dos semanas y tiene archivos que no se cargarán, contáctenos para que podamos proporcionarle un descifrador que funcione correctamente. Tenga en cuenta que esto solo funcionará si todavía tiene copias o copias de seguridad de sus datos cifrados, ya que el descifrador Ryuk generalmente eliminará los archivos que cree que se descifraron correctamente. Del mismo modo, si ha pagado por un descifrador pero aún no lo ha utilizado, haga una copia de seguridad de sus archivos antes de ejecutarlo o póngase en contacto con nosotros. Nuestra herramienta le permitirá recuperar sus datos de manera segura, mientras que la herramienta suministrada por los malos actores no lo hará.
Tenga en cuenta que nuestra herramienta de descifrado no elimina la necesidad de pagar rescates; es simplemente un reemplazo de la herramienta suministrada por delincuentes.
Un último consejo: antes de ejecutar cualquier descifrador de ransomware, ya sea que haya sido proporcionado por un mal actor o por una compañía de seguridad, asegúrese de hacer una copia de seguridad de los datos cifrados primero. Si la herramienta no funciona como se espera, podrá volver a intentarlo.
