top of page

Le rançongiciel Ryuk contient un bug provoquant la perte de données pour certaines victimes


Le rançongiciel Ryuk contient un bug provoquant la perte de données pour certaines victimes

Le fabricant d’antivirus Emsisoft a déclaré avoir trouvé un bug dans l’application de décryptage du ransomware Ryuk. Il s’agit de l’application que le gang Ryuk fournit aux victimes pour récupérer leurs fichiers, après que les victimes ont payé la rançon.

Le bug, selon Emsisoft, provoque une récupération incomplète de certains types de fichiers, entraînant une perte de données, même si la victime a payé la rançon. Le problème, comme l’explique Emsisoft dans un article de blog aujourd’hui, est que le décrypteur tronque un octet à la fin de chaque fichier qu’il décrypte.


publicité

Alors que le dernier octet de la plupart des fichiers est là pour le remplissage et n’est généralement pas utilisé, pour certaines extensions de fichier, ces octets contiennent des informations cruciales qui, une fois supprimées, corrompront définitivement les données, empêchant l’ouverture du fichier.

«Un grand nombre de fichiers de type disque virtuel comme VHD / VHDX ainsi que de nombreux fichiers de base de données comme les fichiers de base de données Oracle stockeront des informations importantes dans ce dernier octet et les fichiers endommagés de cette façon ne se chargeront pas correctement après leur décryptage», explique Emsisoft.

Le fabricant d’antivirus a déclaré aujourd’hui qu’il était capable de rechercher et de corriger les bugs et qu’il devrait être en mesure de “corriger” les décrypteurs Ryuk pour décrypter les fichiers sans tronquer le dernier octet – et corrompre les fichiers.

Mais les choses ne sont pas aussi simples. Le deuxième problème est que le décrypteur du gang Ryuk supprime également les fichiers cryptés d’origine, ce qui signifie que les victimes ne peuvent pas relancer l’opération de décryptage avec un décrypteur “fixe”.

Pour cette raison, l’équipe Emsisoft a publié aujourd’hui un PSA (Public Service Announcement) urgent, recommandant aux victimes de créer une copie de sauvegarde des fichiers chiffrés au cas où le décrypteur du gang Ryuk échouerait et supprimerait les fichiers chiffrés.

“Nous espérons diffuser le plus rapidement et le plus largement possible le message afin que les organisations concernées puissent éviter la perte de données”, a déclaré aujourd’hui à ZDNet le porte-parole d’Emsisoft, Brett Callow.

Emsisoft a déclaré que les victimes peuvent contacter via ryukhelp@emsisoft.com pour que ses analystes réparent le décrypteur qu’ils ont reçu du gang Ryuk. Cependant, alors qu’Emsisoft est la société qui a publié le plus de décrypteurs de ransomwares gratuits dans le passé, il s’agit ici d’un service payant, car cela implique que ses analystes travaillent à corriger en partie chaque décrypteur, une tâche très chronophage.

Ryuk est l’une des souches de ransomware les plus actives d’aujourd’hui. Le ransomware est déployé par des gangs criminels sur les réseaux d’entreprise en utilisant une précédente infection par un logiciel malveillant comme point d’entrée – généralement via les chevaux de Troie Emotet ou TrickBot.

Les infections attribuées à Ryuk incluent le fournisseur de services de gestion T-Systems, le fournisseur de services financiers ASD Audit, le fabricant de technologies d’isolation TECNOL, le fabricant d’outils d’automatisation Pliz, la ville de New Bedford (États-Unis), Tribune Publishing, le fournisseur de services gérés PerCSoft, le fournisseur de soins de santé CorVel, le service informatique le fournisseur CloudJumper, la ville de Lake City (États-Unis) et bien d’autres.

Source : ZDNet.com

0 vue0 commentaire

Comments


bottom of page