支付赎金也没用,Ryuk勒索软件解密器有bug

ang010ela 新闻 2019年12月14日发布
Favorite收藏

导语:​研究人员发现Ryuk勒索软件解密器存在漏洞,即使被勒索的用户支付了赎金,数据也无法找回。

Ryuk勒索软件名声在外,这几年收获了上亿的勒索收入。Ryuk勒索软件通过现有的恶意软件感染目标网络,使用RSA和AES结合的方式进行加密。Ryuk已经非常成功了,但并不意味着其创建者停止发展和改进它了。在过去这些年,我们看到Ryuk勒索软件在不断的加入新的特征。

其中一个特征就是其加密文件的能力。如果Ryuk勒索软件遇到一个大于54.4Mb(57000000字节)的文件,就只加密文件的特定部分以节省时间,并且在研究人员和用户注意到之前尽可能快的加密文件。

Ryuk用来确定文件大小是否超过57000000字节的代码

部分加密的文件与正常加密的文件在footer部分会有所不同,其中Hermes保存用于加密文件内容的RSA加密的AES公钥。除了Ryuk使用的HERMES文件标记外,还可以看到文件中有多少个100万字节的块被加密了。如果该标记没有了,就表示整个文件会被加密。

Ryuk文件footer部分加密文件的块的数量

在最新的Ryuk版本中,计算footer长度的方式发生了变化。因此,Ryuk开发人员提供的解密器会截短文件,在解密文件过程中会删掉有些字节。根据具体文件类型的不同,这可能会引发一些问题。最好的情况是被删掉的字节并不会被有漏洞的解密器使用,这样就不会影响文件的解密。但对于VHD/VHDX这样的虚拟硬盘文件和在最后一个字节保存重要信息的Oracle数据库文件来说,删掉的字节可能会导致文件在解密后无法正常加载。

本文翻译自:https://blog.emsisoft.com/en/35023/bug-in-latest-ryuk-decryptor-may-cause-data-loss/如若转载,请注明原文地址: https://beta.4hou.com/info/news/22052.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论