Il ricercatore di sicurezza Yohanes Nugroho ha sviluppato un decryptor per la variante Linux di Ransomware Akira. Lo strumento sfrutta la potenza della GPU per recuperare le chiavi di decrittazione, consentendo alle vittime di sbloccare gratuitamente i propri file crittografati.
Sviluppo di Akira Decryptor
Nugroho ha iniziato a lavorare sul decryptor dopo essere stato avvicinato da un amico che era caduto vittima del ransomware Akira. Inizialmente si stimava che il sistema potesse essere risolto entro una settimana, ha scoperto che il ransomware generato crittografia chiavi che utilizzano timestamp, rendendolo potenzialmente decifrabile.
Tuttavia, il progetto ha preso tre settimane a causa di complessità inaspettate, e ha trascorso $1,200 sulle risorse GPU per decifrare con successo la chiave di crittografia.
Utilizzo di GPU per la forza bruta delle chiavi di crittografia
A differenza degli strumenti di decrittazione tradizionali in cui gli utenti inseriscono una chiave per sbloccare i propri file, Il decifratore di Nugroho forze brute chiavi di crittografia sfruttando il modo in cui il ransomware Akira genera le sue chiavi in base al tempo di sistema in nanosecondi.
Il ransomware Akira crea dinamicamente chiavi di crittografia uniche per ogni file utilizzando quattro diverse semi basati su timestamp analizzato tramite hash 1,500 cicli di SHA-256. Queste chiavi vengono quindi crittografate con RSA-4096 e aggiunte ai file crittografati.
Sfide nell'attacco brute-force delle chiavi
Poiché i timestamp sono precisi al nanosecondo, ci sono oltre un miliardo di valori possibili al secondo, rendendo estremamente difficile la crittografia tramite forza bruta delle chiavi.
Anche, Il ransomware Akira su Linux utilizza multi-threading per crittografare più file contemporaneamente, rendendo più difficile determinare i timestamp esatti utilizzati per la crittografia.
Nugroho ha analizzato i file di registro e i metadati del sistema infetto per stimare quando è avvenuta la crittografia. Primi tentativi utilizzando un RTX 3060 erano troppo lenti, raggiungendo solo 60 milioni di test di crittografia al secondo. Aggiornamento a un RTX 3090 ha offerto pochi miglioramenti.
Alla fine si è rivolto a RunPod e Vast.ai servizi GPU cloud, utilizzando sedici RTX 4090 GPU per forzare brutamente la chiave di decifrazione all'interno 10 orario. Tuttavia, a seconda del numero di file crittografati, il processo potrebbe richiedere un paio di giorni.
Decryptor ora disponibile su GitHub
Il decryptor è ora disponibile al pubblico su GitHub, con istruzioni su come recuperare i file crittografati con Akira.
Tieni presente che prima di tentare la decrittazione, dovresti fare un backup dei tuoi file crittografati, poiché esiste il rischio di corruzione se viene utilizzata la chiave di decrittazione sbagliata.