O pesquisador de segurança Yohanes Nugroho desenvolveu um descriptografador para a variante Linux do Ransomware Akira. A ferramenta aproveita o poder da GPU para recuperar chaves de descriptografia, permitindo que as vítimas desbloqueiem seus arquivos criptografados gratuitamente.
Desenvolvimento do Akira Decryptor
Nugroho começou a trabalhar no descriptografador após ser abordado por um amigo que foi vítima do ransomware Akira. Estimando inicialmente que o sistema poderia ser resolvido em uma semana, ele descobriu que o ransomware gerou criptografia chaves usando carimbos de data/hora, tornando-o potencialmente quebrável.
Contudo, o projeto levou três semanas devido a complexidades inesperadas, e ele gastou $1,200 em recursos de GPU para quebrar com sucesso a chave de criptografia.
Usando GPUs para forçar chaves de criptografia
Ao contrário das ferramentas de descriptografia tradicionais, onde os usuários inserem uma chave para desbloquear seus arquivos, Decifrador de Nugroho forças brutas chaves de criptografia aproveitando como o ransomware Akira gera suas chaves com base no tempo do sistema em nanossegundos.
O Akira ransomware cria dinamicamente chaves de criptografia exclusivas para cada arquivo usando quatro diferentes sementes baseadas em timestamp processado 1,500 rodadas de SHA-256. Essas chaves são então criptografadas com RSA-4096 e anexadas aos arquivos criptografados.
Desafios na Força Bruta das Chaves
Como os carimbos de data/hora são precisos até nanossegundos, tem mais de um bilhão de valores possíveis por segundo, tornando extremamente difícil forçar chaves de criptografia.
Além disso, Akira ransomware no Linux usa multi-threading para criptografar vários arquivos ao mesmo tempo, tornando mais difícil determinar os carimbos de data/hora exatos usados para criptografia.
Nugroho analisou arquivos de log e metadados do sistema infectado para estimar quando a criptografia ocorreu. As primeiras tentativas usando um RTX 3060 eram muito lentos, alcançando apenas 60 milhões de testes de criptografia por segundo. Atualizando para um RTX 3090 ofereceu pouca melhora.
Ele finalmente se voltou para RunPod e Vast.ai serviços de GPU em nuvem, utilizando dezesseis RTX 4090 GPUs para forçar brutamente a chave de descriptografia dentro 10 horas. Contudo, dependendo do número de arquivos criptografados, o processo pode levar alguns dias.
Decryptor agora disponível no GitHub
O decifrador agora está disponível publicamente em GitHub, com instruções sobre como recuperar arquivos criptografados pelo Akira.
Tenha em mente que antes de tentar descriptografar, você deve fazer um backup dos seus arquivos criptografados, pois há risco de corrupção se a chave de descriptografia errada for usada.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: