Atak ransomware. Zapłacenie okupu nie gwarantuje odzyskania danych

Eksperci ds. cyberbezpieczeństwa ostrzegają, by w przypadku infekcji ransomwarem Ryuk nie płacić okupu przestępcom. W związku z błędem aplikacji służącej do odszyfrowywania zarażonych Ryukiem plików niemożliwym jest odzyskanie dostępu do części danych.

Ryuk to jeden z najniebezpieczniejszych wykorzystywanych obecnie szczepów ransomware. Podobnie jak inne tego typu oprogramowanie, jest on stosowany do wyłudzania okupu poprzez szyfrowanie zgromadzonych na komputerze danych. Kwoty żądane w atakach z wykorzystaniem Ryuka są z reguły dużo wyższe niż w przypadku innych tego typu incydentów. Mimo to część zdesperowanych ofiar – w większości duże firmy – decyduje się na zapłatę okupu, by uzyskać program, który pozwala odszyfrować zainfekowane pliki.

Jak się jednak okazuje, ugięcie się pod żądaniem przestępców nie gwarantuje odzyskania dostępu do cennych danych. Specjaliści z firmy Emsisoft odnaleźli w aplikacji do odszyfrowywania poważny błąd. Polega on na tym, że algorytm w trakcie pracy ucina pierwszy i ostatni bajt poszczególnych plików. W większości przypadków nie powoduje to żadnych problemów, gdyż utracone dane nie zawierają istotnych informacji, jednak w przypadku niektórych formatów plików, np. VHD i VHDX, może to uniemożliwić ich poprawny odczyt. Sprawę dodatkowo komplikuje fakt, że w trakcie swojej pracy narzędzie usuwa pliki źródłowe. Oznacza to, że procedury odszyfrowywania nie można drugi raz powtórzyć, a część danych zostaje bezpowrotnie utracona.

Nie tylko Ryuk niszczy dane

Nie jest to pierwszy incydent tego typu, kiedy na skutek błędu twórców zagrożenia dane zaszyfrowane przez ransomware są nie do odzyskania. W 2016 roku głośny był przypadek szczepu RANSOM_CRYPTEAR.B, który z powodu pomyłki programisty szyfrował nie tylko pliki użytkownika, ale również plik z kluczem, niezbędny do ich odzyskania. Ważną przestrogą powinien być także incydent z udziałem ransomware NotPetya z 2017 roku, kiedy to oprogramowanie Petya zostało celowo zmodyfikowane przez grupę stojącą za atakiem w taki sposób, by dane na zainfekowanych komputerach były nie do odzyskania.

Zdaniem Piotra Zielaskiewicza, Product Managera STORMSHIELD w firmie DAGMA Bezpieczeństwo IT, tego typu incydenty to tylko jeden z argumentów za tym, by w razie ataku ransomware nigdy nie płacić przestępcom okupu.

- Płacąc przestępcom nie tylko nigdy nie mamy pewności czy odzyskamy zaszyfrowane dane. Zachęcamy ich także do tego, by dalej kontynuowali swoją działalność. Szkodzi to nie tylko nam, jako ofiarom, ale również zwiększa ryzyko ataków w przyszłości. W przypadku problemów z ransomware dużo lepiej zapobiegać, niż leczyć. Z tego powodu zawsze warto mieć pod ręką aktualny backup najważniejszych plików, oraz korzystać z poprawnie skonfigurowanego rozwiązania UTM lub next-generation firewall, które pomoże nam powstrzymać większość tego typu incydentów – wyjaśnia Piotr Zielaskiewicz. 

30 lat Ransomware