Sikkerhedsforsker Yohanes Nugroho har udviklet en dekryptering til Linux-varianten af Akira ransomware. Værktøjet udnytter GPU-kraft til at hente dekrypteringsnøgler, giver ofre mulighed for at låse deres krypterede filer op gratis.
Udvikling af Akira Decryptor
Nugroho begyndte at arbejde på dekrypteringsværktøjet efter at være blevet kontaktet af en ven, der var blevet offer for Akira ransomware. I første omgang estimeret, at systemet kunne løses inden for en uge, han fandt ud af, at ransomware genererede kryptering nøgler ved hjælp af tidsstempler, gør det potentielt knækkeligt.
Men, projektet tog tre uger på grund af uventede kompleksiteter, og han brugte $1,200 på GPU-ressourcer for at knække krypteringsnøglen.
Brug af GPU'er til Brute Force-krypteringsnøgler
I modsætning til traditionelle dekrypteringsværktøjer, hvor brugere indtaster en nøgle for at låse deres filer op, Nugrohos dekryptering brute-kræfter krypteringsnøgler ved at drage fordel af, hvordan Akira ransomware genererer sine nøgler baseret på systemets tid i nanosekunder.
Akira ransomware opretter dynamisk unikke krypteringsnøgler til hver fil ved hjælp af fire forskellige tidsstempelbaserede frø hastet igennem 1,500 runder af SHA-256. Disse nøgler krypteres derefter med RSA-4096 og føjes til de krypterede filer.
Udfordringer i Brute-Forcing the Keys
Da tidsstempler er præcise til nanosekunder, der er over en milliard mulige værdier i sekundet, hvilket gør det ekstremt vanskeligt at brute force krypteringsnøgler.
Også, Akira ransomware på Linux bruger flertrådet at kryptere flere filer på samme tid, gør det sværere at bestemme de nøjagtige tidsstempler, der bruges til kryptering.
Nugroho analyserede logfiler og metadata fra det inficerede system for at vurdere, hvornår kryptering fandt sted. Tidlige forsøg på at bruge en RTX 3060 var for langsomme, kun når frem 60 millioner krypteringstests i sekundet. Opgradering til en RTX 3090 tilbød lidt forbedring.
Han vendte sig til sidst til RunPod og Vast.ai cloud GPU-tjenester, udnytte seksten RTX 4090 GPU'er at brute-force dekrypteringsnøglen indeni 10 timer. Men, afhængigt af antallet af krypterede filer, processen kan tage et par dage.
Decryptor nu tilgængelig på GitHub
Dekrypteringsprogrammet er nu offentligt tilgængeligt på GitHub, med instruktioner om, hvordan du gendanner Akira-krypterede filer.
Husk det, før du forsøger at dekryptere, bør du lave en sikkerhedskopi af dine krypterede filer, da der er risiko for korruption, hvis den forkerte dekrypteringsnøgle bruges.