Emsisoft：付费的Ryuk解密工具可能造成资料遗失

资安业者Emsisoft于本周警告，专门锁定大型企业展开攻击的Ryuk勒索软件，在最新版本中作了一些变更，使得就算付钱给骇客，所取得的解密工具还是可能造成资料的遗失。

Emsisoft解释，Ryuk的作者持续地改良该勒索软件，在最近的版本中，只要发现大于54.4MB的档案，就只会加密特定部分来节省时间，以免操作时间过长而被受害者察觉；这种部分加密的档案在页尾有些不同，且新版改变了页尾长度的计算方式，使得解密工具在解密档案时，可能会删掉太多以为无用的页尾。

在最佳的状态中，被删掉的页尾可能是毫无用处的，但有大量虚拟磁盘型式的档案，像是VHD/VHDX，或者是Oracle的大型数据库档案，都会在最后一个位元存放重要资讯，使得这些档案在解密之后，将因受损而无法正确载入。

此一问题目前只影响最近两周的Ryuk受害者。Emsisoft业务包含协助已支付赎金的受害者取回资料，因为有些骇客可能不是很配合，有些则是所提供的解密工具有瑕疵，Emsisoft还建议任何勒索软件的受害者，在解密档案前，都应该先备份那些已被加密的档案。