Le chercheur en sécurité Yohanes Nugroho a développé un décrypteur pour la variante Linux de Rançongiciel Akira. L'outil exploite la puissance du GPU pour récupérer les clés de déchiffrement, permettre aux victimes de déverrouiller gratuitement leurs fichiers cryptés.
Développement d'Akira Decryptor
Nugroho a commencé à travailler sur le décrypteur après avoir été approché par un ami qui avait été victime du ransomware Akira. Initialement, on estimait que le système pourrait être résolu en une semaine., il a découvert que le ransomware générait chiffrement clés utilisant des horodatages, le rendant potentiellement craquable.
Cependant, le projet a pris trois semaines en raison de complexités inattendues, et il a dépensé $1,200 sur les ressources GPU pour déchiffrer avec succès la clé de cryptage.
Utilisation de GPU pour forcer les clés de chiffrement
Contrairement aux outils de décryptage traditionnels où les utilisateurs saisissent une clé pour déverrouiller leurs fichiers, Le décrypteur de Nugroho forces brutes clés de chiffrement en tirant parti de la façon dont le ransomware Akira génère ses clés en fonction de l'heure système en nanosecondes.
Le ransomware Akira crée dynamiquement des clés de cryptage uniques pour chaque fichier en utilisant quatre clés différentes. graines basées sur l'horodatage haché à travers 1,500 tours de SHA-256. Ces clés sont ensuite cryptées avec RSA-4096 et ajoutées aux fichiers cryptés.
Défis liés à la frappe forcée des clés
Étant donné que les horodatages sont précis à la nanoseconde près, il y a plus d'un milliard de valeurs possibles par seconde, rendant extrêmement difficile le forçage des clés de chiffrement.
Aussi, Utilisations du ransomware Akira sur Linux multithreading pour crypter plusieurs fichiers en même temps, rendant plus difficile la détermination des horodatages exacts utilisés pour le chiffrement.
Nugroho a analysé les fichiers journaux et les métadonnées du système infecté pour estimer le moment où le cryptage a eu lieu.. Premières tentatives utilisant un RTX 3060 étaient trop lents, atteignant seulement 60 millions de tests de cryptage par seconde. Mise à niveau vers un RTX 3090 offert peu d'amélioration.
Il s'est finalement tourné vers RunPod et Vast.ai services GPU cloud, en utilisant seize RTX 4090 GPU pour forcer la clé de décryptage à l'intérieur 10 heures. Cependant, en fonction du nombre de fichiers cryptés, le processus pourrait prendre quelques jours.
Décrypteur désormais disponible sur GitHub
Le décrypteur est désormais disponible publiquement sur GitHub, avec des instructions sur la façon de récupérer les fichiers cryptés par Akira.
Gardez à l'esprit qu'avant de tenter le décryptage, vous devriez faire une sauvegarde de vos fichiers cryptés, car il existe un risque de corruption si la mauvaise clé de déchiffrement est utilisée.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: