Une nouvelle variante du rançongiciel Ryuk énumère désormais les dossiers Linux utilisés dans Windows 10, pour éviter de les chiffrer. Le changement évite d'affecter les dossiers Windows Subsystem for Linux (WSL), permettant à Linux d'être installé en tant que machine virtuelle sur Windows 10. Cependant, le changement n'essaie pas d'être agréable pour les installations Linux, mais plutôt une mesure purement pratique : si le ransomware chiffre les fichiers WSL, il détruit effectivement la machine virtuelle Linux, ce qui signifie qu'il n'y a aucun intérêt à payer l'attaquant pour le déchiffrement.
Décrypter WSL
Il n'existe actuellement aucune variante connue de Ryuk qui cible spécifiquement les ordinateurs Linux, se concentrant plutôt sur les machines Windows. Cependant, Windows 10 permet d'installer Linux directement en tant que machine virtuelle à l'aide de la fonctionnalité WSL. La fonctionnalité a été introduite par Microsoft en 2016 pour améliorer la compatibilité entre les machines Windows et Linux. WSL est sorti en mai 2019 et utilise un certain nombre de fonctionnalités Hyper-V. L'un des avantages pour Microsoft en ajoutant WSL serait d'aider les utilisateurs Windows qui ont également besoin d'un environnement Linux à utiliser les fonctionnalités de son service cloud Azure. Cependant, lorsque les fichiers qui alimentent WSL sont chiffrés par un ransomware, l'installation Linux est effectivement détruite avec vos données. Ceci est contraire aux intérêts de l'attaquant du rançongiciel, car même payer pour le décryptage ne récupérera pas vos données. Les fichiers spécifiques désormais mis sur liste noire contre le cryptage du rançongiciel Ryuk incluent :- bin
- Commencez
- Commencez
- dev
- etc.
- lib
- initrd
- sbin
- sys
- vmlinuz
- course
- var