Windows : même en payant une rançon, le malware Ryuk fait disparaître vos données

Malgré le paiement d'une rançon en Bitcoin, les victimes du malware Ryuk ne sont plus en mesure de récupérer l'intégralité de leurs données chiffrées. La société de sécurité Emsisoft a identifié la source du problème : un bug dans l'outil de décryptage fourni par les hackers entraîne une corruption des fichiers, les rendant illisibles.

Malware

Depuis plusieurs mois, un redoutable ransomware baptisé Ryuk sévit sur Windows. Les victimes qui sont forcées à payer une rançon en Bitcoin afin de recouvrer l'accès à leurs données. Seulement, depuis un moment, le paiement du butin est devenu presque inutile, préviennent les chercheurs de la société Emsisoft. Plusieurs fichiers récupérés ne sont en effet plus utilisables, la faute à l'outil de décryptage fourni par les hackers.

Ryuk : les victimes du ransomware perdent définitivement leurs données malgré le paiement d'une rançon

Dans un article de blog, les chercheurs expliquent que la dernière version du ransomware Ryuk gère différemment les fichiers de plus de 54,4 mégaoctets. Afin de bloquer le maximum de données et le plus rapidement possible, le malware ne chiffre que partiellement les fichiers plus grands que cette taille. Les données partiellement chiffrées ont une manière différente d'être traitées.  La fin du fichier est l'endroit où Ryuk stocke une clé AES. Il existe également un marqueur pour le nombre de blocs d'un mégaoctet.

Cela a créé des conséquences inattendues. « Le décrypteur fourni par les auteurs de Ryuk tronquera les fichiers, coupant un trop grand nombre d'octets dans le processus de déchiffrement », expliquent les chercheurs. « Selon le type de fichier exact, cela peut ou non entraîner des problèmes majeurs ». En clair, ces fichiers peuvent s'endommager et ne plus se charger correctement même après avoir été déverrouillés par l'outil fourni par les attaquants.

Lire également : un ransomware paralyse 120 hôpitaux français

Le deuxième problème est que le décrypteur supprime les fichiers d'origine. Par conséquent, les victimes ne peuvent pas relancer l'opération de récupération même avec un décrypteur sans bug. En attendant un correctif, toute personne ou entreprise touchée s'expose ainsi à des pertes de données définitives. La meilleure manière de prévenir tout événement de ce genre est de réaliser des backups réguliers de vos données importantes, recommandent les chercheurs.

Source : Emsisoft Malware Lab


Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !