El investigador de seguridad Yohanes Nugroho ha desarrollado un descifrador para la variante Linux de Akira ransomware. La herramienta aprovecha la potencia de la GPU para recuperar claves de descifrado, Permitiendo a las víctimas desbloquear sus archivos cifrados de forma gratuita.
Desarrollo de Akira Decryptor
Nugroho comenzó a trabajar en el descifrador después de que un amigo que había sido víctima del ransomware Akira se acercara a él.. Inicialmente se estimó que el sistema podría resolverse en una semana., Descubrió que el ransomware generó cifrado claves que utilizan marcas de tiempo, haciéndolo potencialmente descifrable.
Sin embargo, El proyecto tomó tres semanas debido a complejidades inesperadas, y pasó $1,200 sobre los recursos de la GPU para descifrar con éxito la clave de cifrado.
Uso de GPU para forzar la encriptación de claves
A diferencia de las herramientas de descifrado tradicionales donde los usuarios ingresan una clave para desbloquear sus archivos, El descifrador de Nugroho fuerzas brutas Claves de cifrado aprovechando la forma en que el ransomware Akira genera sus claves en función del tiempo del sistema en nanosegundos.
El ransomware Akira crea dinámicamente claves de cifrado únicas para cada archivo utilizando cuatro... semillas basadas en marcas de tiempo revisado a fondo 1,500 rondas de SHA-256. Estas claves luego se cifran con RSA-4096 y se añaden a los archivos cifrados..
Desafíos en la fuerza bruta de las claves
Dado que las marcas de tiempo tienen una precisión de nanosegundos, existen más de mil millones de valores posibles por segundo, lo que hace que sea extremadamente difícil forzar las claves de cifrado.
También, El ransomware Akira en Linux utiliza multihilo para cifrar varios archivos al mismo tiempo, lo que dificulta determinar las marcas de tiempo exactas utilizadas para el cifrado.
Nugroho analizó archivos de registro y metadatos del sistema infectado para estimar cuándo ocurrió el cifrado. Los primeros intentos con un RTX 3060 eran demasiado lentos, alcanzando solamente 60 millones de pruebas de cifrado por segundo. Actualizar a un RTX 3090 Ofreció poca mejora.
Finalmente se volvió hacia RunPod y Vast.ai servicios de GPU en la nube, la utilización de dieciséis RTX 4090 GPU Para forzar la clave de descifrado dentro 10 horas. Sin embargo, dependiendo del número de archivos cifrados, El proceso podría tardar un par de días..
Decryptor ya está disponible en GitHub
El descifrador ahora está disponible públicamente en GitHub, con instrucciones sobre cómo recuperar archivos cifrados por Akira.
Tenga en cuenta que antes de intentar el descifrado, Deberías hacer una copia de seguridad de tus archivos cifrados, ya que existe un riesgo de corrupción si se utiliza la clave de descifrado incorrecta.