Известный вирус-вымогатель оказался опаснее

Фото: Олег Харсеев / «Коммерсантъ»

В известном вирусе-вымогателе Ryuk обнаружена уязвимость, из-за которой при расшифровке повреждаются файлы. Ее нашли сотрудники компании Emsisoft, которые подробно описали ее в своем блоге.

Вирус Ryuk шифрует захваченные файлы, далее его операторы требуют у жертвы выкуп. После внесения необходимой суммы пользователь получает инструмент для дешифровки. Однако исследование показало, что вирус оказался опаснее, чем считалось ранее, и не гарантирует успешного возвращения данных юзеру.

Выяснилось, что дешифратор отсекает последний байт при дешифровке каждого файла. Порой это не имеет большого значения, но в некоторых случаях такой байт несет важную информацию, удаление которой губительно для всего файла в целом, — это касается баз данных, файлов VHD/VHDX и других.

Поскольку исправить уязвимость сложно, эксперты в области кибербезопасности посоветовали жертвам Ryuk сделать копии файлов, чтобы не потерять их при расшифровке безвозвратно. В Emsisoft также предложили присылать им полученные версии дешифратора на анализ (однако заметили, что за него придется заплатить).

Ранее стало известно, что преступники из группировки Lazarus способны взломать устройства на macOS бесфайловым способом. Такой код может обходить антивирусы, так как исполняется в оперативной памяти.

Ryuk известен специалистам по кибербезопасности с августа 2018 года. Его использовали для атак на ветеринарную организацию National Veterinary Associates, испанскую частную охранную компанию Prosegur и сеть медицинских центров DCH в американском штате Алабама. Считается, что опасную программу создали и применяют российские хакеры из кибергруппировки Grim Spider. Объединение было известно и ранее использованием модифицированного трояна Trickbot. Заражая устройства на базе операционных систем Microsoft Windows, вирус требует выкуп в биткоинах для получения дешифровщика.