Der Sicherheitsforscher Yohanes Nugroho hat einen Decrypter für die Linux-Variante von Akira-Ransomware. Das Tool nutzt die GPU-Leistung, um Entschlüsselungsschlüssel abzurufen, Opfer können ihre verschlüsselten Dateien kostenlos entsperren.
Entwicklung von Akira Decryptor
Nugroho begann mit der Arbeit an dem Entschlüsseler, nachdem ein Freund, der Opfer der Akira-Ransomware geworden war, ihn angesprochen hatte.. Ursprünglich wurde geschätzt, dass das System innerhalb einer Woche gelöst werden könnte, Er fand heraus, dass die Ransomware Verschlüsselung Schlüssel mit Zeitstempeln, wodurch es potenziell knackbar ist.
Jedoch, das Projekt dauerte drei Wochen aufgrund unerwarteter Komplexitäten, und er verbrachte $1,200 auf GPU-Ressourcen um den Verschlüsselungsschlüssel erfolgreich zu knacken.
Verwenden von GPUs zum Brute-Force-Ermittlungsverfahren für Verschlüsselungsschlüssel
Im Gegensatz zu herkömmlichen Entschlüsselungstools, bei denen Benutzer einen Schlüssel eingeben, um ihre Dateien zu entsperren, Nugrohos Entschlüsseler Brute-Force-Methoden Verschlüsselungsschlüssel, indem die Art und Weise ausgenutzt wird, wie die Akira-Ransomware ihre Schlüssel basierend auf der Systemzeit in Nanosekunden generiert.
Akira Ransomware erstellt dynamisch einzigartige Verschlüsselungsschlüssel für jede Datei mit vier verschiedenen zeitstempelbasierte Seeds durchgehasht 1,500 Runden von SHA-256. Diese Schlüssel werden dann mit RSA-4096 verschlüsselt und an die verschlüsselten Dateien angehängt.
Herausforderungen beim Brute-Force-Angriff auf die Schlüssel
Da Zeitstempel auf Nanosekunden genau sind, es gibt über eine Milliarde mögliche Werte pro Sekunde, wodurch es extrem schwierig wird, Verschlüsselungsschlüssel mit Brute Force zu erpressen.
Auch, Akira Ransomware unter Linux verwendet Multithreading um mehrere Dateien gleichzeitig zu verschlüsseln, Dadurch wird es schwieriger, die genauen Zeitstempel für die Verschlüsselung zu bestimmen.
Nugroho analysierte Protokolldateien und Metadaten des infizierten Systems, um abzuschätzen, wann die Verschlüsselung erfolgte. Frühe Versuche mit einem RTX 3060 waren zu langsam, erreichen nur 60 Millionen Verschlüsselungstests pro Sekunde. Upgrade auf eine RTX 3090 brachte wenig Verbesserung.
Er wandte sich schließlich an RunPod und Vast.ai Cloud-GPU-Dienste, Verwendung sechzehn RTX 4090 Grafikprozessoren um den Entschlüsselungsschlüssel innerhalb von 10 Stunden. Jedoch, abhängig von der Anzahl der verschlüsselten Dateien, Der Vorgang kann einige Tage dauern.
Decryptor jetzt auf GitHub verfügbar
Der Entschlüsseler ist jetzt öffentlich verfügbar auf GitHub, mit Anweisungen zum Wiederherstellen von Akira-verschlüsselten Dateien.
Denken Sie daran, dass Sie vor dem Entschlüsselungsversuch, Sie sollten eine Sicherungskopie Ihrer verschlüsselten Dateien erstellen, da bei Verwendung des falschen Entschlüsselungsschlüssels die Gefahr einer Beschädigung besteht.