Ryuk的解密工具(由勒索软件背后的威胁行为者提供给已支付赎金要求的受害者)实际上可能导致数据丢失,而不是恢复对用户的文件访问。 根据Emsisoft的博客文章,该工具如何解密文件的错误可能导致恢复不完全,这与解密程序实际上要实现的目的相反。
尽管Ryuk因其针对的对象和试图勒索多少而广为人知,但勒索软件变体实际上已经看到了其功能的许多演变,其中包括修订后的加密过程。 为了使加密更快,更有效,Ryuk将仅部分加密1,000,000字节块中大于57,000,000字节(约54.4兆字节)的文件-使用公式计算它将加密多少个这些块。
传统上,被Ryuk感染的文件将包含一个标记,以显示该文件先前是否已使用Hermes勒索软件(Ryuk所基于的较早的恶意软件变体)进行了加密。 但是,除了Hermes标记外,这些部分加密的文件还将在标记旁边显示一个数字,指示已加密1,000,000个字节块中有多少个。
由于该数字的计算方式存在错误,Ryuk的最新版本可能会意外截断某些文件,从而从应恢复的文件中删除一个字节的数据。
尽管担心一个字节看起来像微不足道的事情(在大多数情况下,最后一个字节实际上是未使用的),但某些类型的文件(例如Oracle数据库中使用的文件)会将信息存储在最后一个字节中。 这意味着删除此单个字节实际上可能导致恢复不完全,具体取决于加密的文件类型。 防御Ryuk和其他勒索软件系列
根据趋势科技(Trend Micro)的2019年年中安全综述,随着威胁行动者寻求发展其工具和方法,勒索软件检测在今年上半年与下半年相比增长了77%。 Ryuk可能是当前勒索软件家族中最流行的一种:它已从受害者(通常是公共部门和私营部门的主要组织)那里赢得了数百万美元的威胁,成为了背后的威胁行动者。
鉴于勒索软件仍然非常广泛,它将有利于组织和个人用户定期实践这些建议,以最大程度地减少勒索软件成功攻击的机会: 保持重要文件和数据安全的最简单,也许是最有效的方法是维护定期备份-最好使用3-2-1方法,以至少两种单独的格式保留三个备份副本,其中一个副本不在现场。 IT管理员应确保不断更新和修补系统,网络,服务器和应用程序,以防止威胁行为者利用易受攻击的软件和系统来提供勒索软件。 组织应通过实施最低特权原则来覆盖所有可能的攻击面,在这种原则下,员工只能访问他们需要的系统部分。 勒索软件的受害者还应避免支付勒索软件的费用,因为这会鼓励威胁行为者继续其活动。 此外,如这种情况所示,支付赎金甚至不能保证加密的数据将被恢复。
[最佳做法:更多防范勒索软件的建议]
没有专门的安全团队来支持其安全策略的组织也可以考虑利用趋势科技™托管XDR等服务,该服务通过跨网络集成检测和响应功能来提供广泛的可见性和专家安全分析 ,端点,电子邮件,服务器和云工作负载。 Managed XDR团队对Ryuk并不陌生,并且在调查和分析勒索软件变体以及向客户提供补救建议方面具有丰富的实际经验。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢