Специалисты компании Emsisoft утверждают, что обнаружили ошибку в коде известного шифровальщика Ryuk, который на сегодняшний день является одним из наиболее активных вредоносов на рынке. Из-за этого бага восстановление некоторых типов файлов становится невозможным даже после выплаты жертвами выкупа.
Исследователи объясняют, что проблема состоит в том, что с недавнего времени Ryuk стал действовать не так, как обычно. Если он встречает файл, размер которого превышает 57 000 000 байт (или 54,4 Мб), он шифрует только определенные его части, чтобы сэкономить время. В результате малварь стала усекать байты в конце каждого файла, с которым «работает». И хотя последний байт в большинстве файлов, как правило, не используется, для некоторых расширений файлов эти байты содержат важную информацию, которая при удалении навсегда повреждает данные, препятствуя открытию файла.
«Многие файлы типа виртуальных дисков, такие как VHD/VHDX, а также многие файлы баз данных, например Oracle, хранят в этом последнем байте важную информацию, и поврежденные таким образом файлы не смогут загружаться должным образом после дешифрования», — пишут эксперты.
Более того, исследователи утверждают, что могут исправить в ошибку в дешифровщике, однако существует еще одна проблема, которая мешает им это сделать. Дело в том, что во время работы дешифровщик операторов Ryuk удаляет исходные зашифрованные файлы, а значит, пострадавшие не смогут повторно запустить операцию дешифрования с помощью исправленного экспертами инструмента.
В связи с этим команда Emsisoft настоятельно рекомендует жертвам малвари создать резервную копию зашифрованных файлов, на тот случай, если дешифровщик преступников уничтожит исходные файлы. Исследователи надеются распространить информацию о баге в Ryuk как можно шире, чтобы пострадавшие организации могли избежать потери данных.