Beveiligingsonderzoeker Yohanes Nugroho heeft een decryptor ontwikkeld voor de Linux-variant van Akira-ransomware. De tool maakt gebruik van GPU-kracht om decoderingssleutels op te halen, waardoor slachtoffers hun versleutelde bestanden gratis kunnen ontgrendelen.
Ontwikkeling van Akira Decryptor
Nugroho begon met het werken aan de decryptor nadat hij werd benaderd door een vriend die slachtoffer was geworden van Akira-ransomware. Aanvankelijk werd geschat dat het systeem binnen een week opgelost zou kunnen worden, hij ontdekte dat de ransomware gegenereerd encryptie sleutels met behulp van tijdstempels, waardoor het potentieel kraakbaar wordt.
Echter, het project duurde drie weken vanwege onverwachte complexiteiten, en hij bracht door $1,200 op GPU-bronnen om de encryptiesleutel succesvol te kraken.
GPU's gebruiken om encryptiesleutels te bruteforcen
In tegenstelling tot traditionele decoderingstools waarbij gebruikers een sleutel invoeren om hun bestanden te ontgrendelen, De decryptor van Nugroho brute krachten encryptiesleutels door gebruik te maken van de manier waarop Akira ransomware zijn sleutels genereert op basis van de systeemtijd in nanoseconden.
Akira ransomware creëert dynamisch unieke encryptiesleutels voor elk bestand met behulp van vier verschillende op tijdstempels gebaseerde zaden doorgehaast 1,500 rondes van SHA-256. Deze sleutels worden vervolgens gecodeerd met RSA-4096 en toegevoegd aan de gecodeerde bestanden.
Uitdagingen bij het bruut forceren van sleutels
Omdat tijdstempels nauwkeurig zijn tot op nanoseconden, er zijn meer dan een miljard mogelijke waarden per seconde, waardoor het extreem moeilijk is om encryptiesleutels met brute kracht te kraken.
Ook, Akira-ransomware op Linux maakt gebruik van multithreading-functie om meerdere bestanden tegelijk te versleutelen, waardoor het moeilijker wordt om de exacte tijdstempels te bepalen die voor encryptie worden gebruikt.
Nugroho analyseerde logbestanden en metadata van het geïnfecteerde systeem om te schatten wanneer de encryptie plaatsvond. Vroege pogingen met behulp van een RTX 3060 waren te langzaam, alleen bereiken 60 miljoen encryptietests per seconde. Upgraden naar een RTX 3090 bood weinig verbetering.
Uiteindelijk wendde hij zich tot RunPod en Vast.ai cloud GPU-diensten, gebruik te maken van zestien RTX 4090 GPU's om de decoderingssleutel binnenin te bruteforcen 10 uur. Echter, afhankelijk van het aantal gecodeerde bestanden, het proces kan een paar dagen duren.
Decryptor nu beschikbaar op GitHub
De decryptor is nu openbaar beschikbaar op GitHub, met instructies over hoe u Akira-gecodeerde bestanden kunt herstellen.
Houd er rekening mee dat voordat u probeert te decoderen, U moet een back-up maken van uw gecodeerde bestanden, omdat er een risico op corruptie bestaat als de verkeerde decoderingssleutel wordt gebruikt.