Warnung! Ryuk Decryptor kann keine vollständige Wiederherstellung versprechen

Die Ryuk-Ransomware ist in den letzten Jahren berüchtigt geworden und hat Hunderte von Millionen Lösegeldzahlungen für ihre Schöpfer geleistet. Die Ryuk Ransomware zielt sowohl auf den privaten als auch auf den öffentlichen Sektor ab und verschlüsselt Dateien im infizierten Netzwerk mit einer Kombination aus AES und RSA.

Einer der Gründe für den anhaltenden Erfolg der Ryuk-Ransomware ist, dass ihre Entwickler im Laufe der Jahre nicht aufgehört haben, sie zu verbessern und weiterzuentwickeln. Erst im vergangenen Jahr wurden der Ryuk-Ransomware mehrere neue Funktionen hinzugefügt, die sie zu einer noch größeren Bedrohung machen als bisher.

Eine der neuen Funktionen, die noch nicht so gut dokumentiert sind, ist Ryuks Fähigkeit, Dateien teilweise zu verschlüsseln. Immer wenn die Ryuk Ransomware auf eine Datei stößt, die größer als 54,4 Megabyte ist, werden nur bestimmte Teile davon verschlüsselt, um Zeit zu sparen und unbemerkt zu bleiben, bevor so viele Daten wie möglich verschlüsselt werden. Dateien, die auf diese Weise verschlüsselt wurden, haben am Ende eine etwas andere Fußzeile, in der normalerweise der für die Verschlüsselung verwendete RSA-verschlüsselte AES-Schlüssel gespeichert ist.

In einer der neuesten Versionen der Ryuk-Ransomware wurden einige Änderungen an der Berechnung der Länge der Fußzeile vorgenommen. Infolgedessen schneidet der Entschlüsseler, den die Bedrohungsakteure an die Opfer senden, die das Lösegeld bezahlt haben, die Dateien ab und schneidet ein Byte beim Entschlüsselungsprozess ab. Dies ist je nach Dateityp möglicherweise kein Problem. Manchmal werden diese letzten Bytes nur aufgefüllt und enthalten keine Daten. Oracle-Datenbankdateien und bestimmte Dateien vom Typ virtueller Festplatten, wie z. B. VHD / VHDX, speichern jedoch wichtige Daten in diesem letzten Byte und machen die Dateien auch nach der Entschlüsselung unbrauchbar.

Was noch schlimmer ist, ist, dass Sie bestimmte Dateien möglicherweise nie wiederherstellen, selbst wenn Sie das Lösegeld bezahlt haben. Dies liegt daran, dass der Entschlüsseler, der von den Bedrohungsakteuren hinter der Ryuk-Ransomware bereitgestellt wird, die verschlüsselten Versionen der Dateien löscht, nachdem sie "entschlüsselt" wurden. Eine Möglichkeit, dies zu vermeiden, besteht darin, nicht mit Cyber-Betrügern zu verhandeln und einen anderen Weg zu finden, um Ihre Dateien zu entschlüsseln. In jedem Fall ist es empfehlenswert, vor einem Wiederherstellungsversuch eine Sicherungskopie der verschlüsselten Daten anzufertigen, falls während des Entschlüsselungsvorgangs ein Fehler auftritt.