示意圖(圖片來源:美國空軍官方網站,https://media.defense.gov/2017/Jun/06/2001758041/-1/-1/0/170606-F-AY392-0001.JPG)

資安業者Emsisoft於本周警告,專門鎖定大型企業展開攻擊的Ryuk勒索軟體,在最新版本中作了一些變更,使得就算付錢給駭客,所取得的解密工具還是可能造成資料的遺失

Emsisoft解釋,Ryuk的作者持續地改良該勒索軟體,在最近的版本中,只要發現大於54.4MB的檔案,就只會加密特定部份來節省時間,以免操作時間過長而被受害者察覺;這種部份加密的檔案在頁尾有些不同,且新版改變了頁尾長度的計算方式,使得解密工具在解密檔案時,可能會刪掉太多以為無用的頁尾。

在最佳的狀態中,被刪掉的頁尾可能是毫無用處的,但有大量虛擬磁碟型式的檔案,像是VHD/VHDX,或者是Oracle的大型資料庫檔案,都會在最後一個位元存放重要資訊,使得這些檔案在解密之後,將因受損而無法正確載入。

此一問題目前只影響最近兩周的Ryuk受害者。Emsisoft業務包含協助已支付贖金的受害者取回資料,因為有些駭客可能不是很配合,有些則是所提供的解密工具有瑕疵,Emsisoft還建議任何勒索軟體的受害者,在解密檔案前,都應該先備份那些已被加密的檔案。


Advertisement

更多 iThome相關內容