Emsisoft：付費的Ryuk解密工具可能造成資料遺失

資安業者Emsisoft於本周警告，專門鎖定大型企業展開攻擊的Ryuk勒索軟體，在最新版本中作了一些變更，使得就算付錢給駭客，所取得的解密工具還是可能造成資料的遺失。

Emsisoft解釋，Ryuk的作者持續地改良該勒索軟體，在最近的版本中，只要發現大於54.4MB的檔案，就只會加密特定部份來節省時間，以免操作時間過長而被受害者察覺；這種部份加密的檔案在頁尾有些不同，且新版改變了頁尾長度的計算方式，使得解密工具在解密檔案時，可能會刪掉太多以為無用的頁尾。

在最佳的狀態中，被刪掉的頁尾可能是毫無用處的，但有大量虛擬磁碟型式的檔案，像是VHD/VHDX，或者是Oracle的大型資料庫檔案，都會在最後一個位元存放重要資訊，使得這些檔案在解密之後，將因受損而無法正確載入。

此一問題目前只影響最近兩周的Ryuk受害者。Emsisoft業務包含協助已支付贖金的受害者取回資料，因為有些駭客可能不是很配合，有些則是所提供的解密工具有瑕疵，Emsisoft還建議任何勒索軟體的受害者，在解密檔案前，都應該先備份那些已被加密的檔案。