¡Advertencia! Ryuk Decryptor no puede prometer una recuperación completa
El ransomware Ryuk se ha hecho notorio en los últimos años, recaudando cientos de millones en pagos de rescate para sus creadores. El ransomware Ryuk se ha dirigido a los sectores público y privado, encriptando archivos en la red infectada con una combinación de AES y RSA.
Una de las razones del éxito persistente del ransomware Ryuk es que sus creadores no han dejado de mejorarlo y evolucionarlo a lo largo de los años. A lo largo del año pasado, hemos visto múltiples características nuevas que se agregaron al ransomware Ryuk, lo que lo convierte en una amenaza aún mayor de lo que era anteriormente.
Una de las nuevas características que no han sido tan bien documentadas es la capacidad de Ryuk para cifrar archivos parcialmente. Siempre que el ransomware Ryuk se encuentre con un archivo de más de 54,4 megabytes, cifrará solo ciertas partes del mismo, en un intento por ahorrar tiempo y pasar desapercibido antes de cifrar la mayor cantidad de datos posible. Los archivos que están encriptados de esta manera tendrán un pie de página ligeramente diferente al final, donde generalmente se almacena la clave AES encriptada con RSA utilizada para el encriptado.
Se realizaron algunos cambios en la forma en que se calcula la longitud del pie de página en una de las versiones más recientes del ransomware Ryuk. Como resultado de esto, el descifrador que los actores de amenazas envían a las víctimas que han pagado el rescate truncará los archivos, cortando un byte en el proceso de descifrado. Esto podría no ser un problema, dependiendo del tipo de tipo de archivo. A veces, estos últimos bytes son solo relleno y no contienen datos. Sin embargo, los archivos de la base de datos de Oracle y ciertos archivos de tipo de disco virtual, como VHD / VHDX, almacenan datos esenciales en ese último byte, lo que hace que los archivos sean inutilizables, incluso después del descifrado.
Lo que es aún peor es que es posible que nunca recupere ciertos archivos, incluso después de pagar el rescate. Esto se debe a que el descifrador proporcionado por los actores de la amenaza detrás del ransomware Ryuk elimina las versiones cifradas de los archivos después de que los "descifró", lo que significa que podría estar atascado con un archivo roto y no hay forma de recuperarlo. Una de las formas de evitar eso es no negociar con delincuentes cibernéticos y encontrar otra forma de descifrar sus archivos. En cualquier caso, antes de intentar cualquier recuperación, sería una buena idea hacer copias de seguridad de los datos cifrados, en caso de que algo salga mal durante el proceso de descifrado.