cyber-security-3216076_1280

I ricercatori di Emsisoft hanno evidenziato un bug presente nel decryptor per recuperare i file di grandi dimensioni criptati dal ransomware Ryuk.

Sembra che Ryuk sia stato recentemente modificato in modo da non crittografare l’intero file se supera i 57.000.000 di byte (o 54,4 megabyte). Così facendo l’operazione malevola impiega meno tempo nell’esecuzione.

Di seguito il codice utilizzato da Ryuk per determinare la quantità di un file da crittografare se supera un limite di dimensioni di 57.000.000 byte.

codice_Ryuk

Per un file di grandi dimensioni, il ransomware memorizzerà quindi il numero di blocchi crittografati accanto al marcatore del file “HERMES” nel piè di pagina. 

ryuk_footer

Secondo i ricercatori in una delle ultime versioni di Ryuk, sono state apportate modifiche al modo in cui viene calcolata la lunghezza del piè di pagina. Di conseguenza il decryptor fornito dagli autori Ryuk troncherà i file nel processo di decodifica del file. 

Sebbene molti file non contengano dati nell’ultimo byte e sia utilizzato principalmente come riempimento, alcuni file di dati come database e immagini virtuali del disco utilizzano l’ultimo byte. Pertanto questi tipi di file non verranno caricati correttamente dopo essere stati decriptati.

Inoltre dopo l’operazione di decrypting verrà eliminata la versione crittografata del file. In questo modo ci si ritroverà con un file decriptato corrotto e senza quello originale criptato sul quale poter eseguire ulteriori tentativi di recupero.  

Per l’analisi dettagliata e per ricevere il decryptor corretto, fai riferimento al link utilizzato come fonte per quest’articolo.

FONTE: Emsisoft.

Puoi seguirci anche sui nostri canali social:

Inoltre è attiva la Newsletter settimanale, con cui potrai ricevere gratuitamente ogni domenica una selezione di tutti gli articoli e guide pubblicate sul sito.

Articoli correlati:

condividi