Un fallo en el descifrador de Ryuk impide recuperar toda la información

Emsisoft, una firma de seguridad neozelandesa, ha detectado una anomalía en una de las últimas versiones de Ryuk, uno de los ransomware más activos y dañinos. Según Emsisoft existe un fallo en la aplicación que permite descifrar los archivos previamente cifrados que hace que la recuperación sea imposible, incluso después de pagar el rescate.

También te puede interesar... Formación y concienciación para mejorar la seguridad Especial Ciberseguridad Industrial Especial Cloud

Explica la empresa de seguridad en un post que el descifrador trunca un byte desde el final de cada archivo que descifra. Ese byte, que en la mayoría de los casos está de relleno y normalmente no se utiliza, contiene información crucial en algunas extensiones de archivo, de forma que cuando se eliminar daña los datos de manera permanente, evitando que el archivo se abra.

“Cada vez que Ryuk encuentra un archivo que tiene más de 57,000,000 bytes (o 54.4 megabytes) solo encriptará ciertas partes para ahorrar tiempo y permitir que avance a través de los datos lo más rápido posible antes de que nadie lo note”, dice el post de Emisoft. Los expertos de la compañía explican que los archivos de tipo VHD/VHDX o los archivos de base de datos como la de Oracle contienen datos importantes en ese último byte.

La compañía dice que pueden corregir el error en el descifrador de Ryuk, pero que como el descifrador elimina los archivos cifrados originales, si las víctimas han ejecutado la versión defectuosa, no podrán ejecutar la versión fija nuevamente para descifrar los archivos. Por esta razón, los expertos de Emsisoft recomiendan a las víctimas que creen una copia de seguridad de sus archivos cifrados.

Ryuk es uno de los ransomware más activos de los últimos tiempos. Es el responsable de haber paralizado algunos ayuntamientos españoles, como el de Jerez, o Prosegur, la Cadena Ser o Everis hace algunas semanas.