安全企业Emsisoft于本周警告,专门锁定大型企业展开攻击的Ryuk勒索软件,在最新版本中作了一些变更,使得就算付钱给黑客,所取得的解密工具还是可能造成数据的遗失。
Emsisoft解释,Ryuk的作者持续地改良该勒索软件,在最近的版本中,只要发现大于54.4MB的文件,就只会加密特定部分来节省时间,以免操作时间过长而被受害者发现;这种部分加密的文件在页脚有些不同,且新版改变了页脚长度的计算方式,使得解密工具在解密文件时,可能会删掉太多以为无用的页脚。
在最佳的状态中,被删掉的页脚可能是毫无用处的,但有大量虚拟磁盘型式的文件,像是VHD/VHDX,或者是Oracle的大型数据库文件,都会在最后一个进制存放重要信息,使得这些文件在解密之后,将因受损而无法正确加载。
该问题目前只影响最近两周的Ryuk受害者。Emsisoft业务包含协助已支付赎金的受害者取回数据,因为有些黑客可能不是很配合,有些则是所提供的解密工具有瑕疵,Emsisoft还建议任何勒索软件的受害者,在解密文件前,都应该先备份那些已被加密的文件。