El ransomware Ryuk contiene un error que causa la pérdida de datos para algunas víctimas


¿Golpeado con una demanda de ransomware? El FBI insta a las víctimas a denunciarlo (incluso si han pagado)
El FBI está instando a todas las víctimas de ransomware a informarle sobre el ataque, ya sea que elijan pagar o no.

El fabricante de antivirus Emsisoft dijo que encontró un error en la aplicación de descifrado del ransomware Ryuk. Esta es la aplicación que la pandilla Ryuk proporciona a las víctimas para recuperar sus archivos, después de que las víctimas pagaron el rescate.

El mistake, según Emsisoft, causa una recuperación incompleta de algunos tipos de archivos, lo que lleva a la pérdida de datos, incluso si la víctima pagó la demanda de rescate.

El problema, como lo explicó Emsisoft en una publicación de site hoy, es que el descifrador trunca un byte desde el final de cada archivo que descifra.

Si bien el último byte en la mayoría de los archivos está allí para el relleno y generalmente no se usa, para algunas extensiones de archivo, esos bytes contienen información very important que, cuando se elimina, dañará permanentemente los datos, evitando que el archivo se abra.

«Muchos archivos de tipo de disco virtual como VHD / VHDX, así como muchos archivos de base de datos como archivos de foundation de datos Oracle almacenarán información importante en ese último byte y los archivos dañados de esta manera no se cargarán correctamente después de que se descifren», dice Emsisoft .

El fabricante de antivirus dijo hoy que fue capaz de rastrear y corregir errores y debería poder «arreglar» los descifradores de Ryuk para descifrar archivos sin truncar el último byte y corromper los archivos.

Pero las cosas no son tan simples, ya que hay otro problema.

El segundo problema es que el descifrador de la pandilla Ryuk también elimina los archivos cifrados originales, lo que significa que las víctimas no pueden volver a ejecutar la operación de descifrado nuevamente con un descifrador «fijo».

Debido a esto, el equipo de Emsisoft ha publicado hoy un anuncio de servicio público (PSA, por sus siglas en inglés) urgente, recomendando que las víctimas creen una copia de los archivos cifrados, para tener como respaldo, en caso de que el descifrador de la pandilla Ryuk falle y destruya los archivos.

«Esperamos correr la voz sobre esto lo más rápido y ampliamente posible para que las organizaciones afectadas puedan evitar la pérdida de datos», dijo el portavoz de Emsisoft, Brett Callow. ZDNet hoy.

Emsisoft dijo que las víctimas pueden comunicarse a través de ryukhelp@emsisoft.com para que sus analistas arreglen el descifrador que recibieron de la pandilla Ryuk. Sin embargo, aunque Emsisoft es la compañía que lanzó la mayoría de los «descifradores de ransomware gratuitos» en el pasado, este es un servicio pago, ya que implica que sus analistas trabajan para corregir cada descifrador en parte, una tarea que consume mucho tiempo.

Ryuk es una de las variedades de ransomware más activas de la actualidad. El ransomware es desplegado por bandas criminales en redes empresariales utilizando una infección de malware anterior como punto de entrada, generalmente a través de los troyanos Emotet o TrickBot.

Las infecciones atribuidas a Ryuk incluyen administrar el proveedor de servicios Sistemas T, proveedor de servicios financieros Auditoría de ASD, fabricante de tecnología de aislamiento TECNOL, fabricante de herramientas de automatización Pliz, ciudad de New Bedford (EE. UU.), Tribune Publishing, proveedor de servicios gestionados PerCSoft, proveedor de atención médica CorVel, Proveedor de servicios de TI CloudJumper, la ciudad de Lake Town (EE. UU.) y muchas otras más.





Enlace a la noticia first