Исследователь разработал средство для расшифровки работы вируса Akira на Linux с помощью метода грубой силы.
- Для расшифровки системы потребовалось три недели и $1200.
- Инструмент доступен на GitHub.
Исследователь по безопасности смог взломать шифратор программы-вымогателя Akira для Linux, воспользовавшись мощностями облачных вычислений.
Исследователь безопасности Йоханес Нугрохо решил помочь другу, у которого данные были зашифрованы Akira. Анализ лог-файлов показал, что Akira создает ключи шифрования, используя временные метки в наносекундах.
Способ Нугрохо считается дорогим для восстановления всех зашифрованных данных, однако его стоимость все равно ниже, чем оплата выкупа.
Роль облачных вычислений
Семя шифрования — начальное значение, используемое для генерации ключей шифрования, которые закрывают доступ к файлам жертвы. Оно играет ключевую роль в процессе шифрования, определяя, как создается ключ шифрования. В случае с Akira шифратор динамически создает уникальные ключи шифрования для каждого файла, используя четыре временные метки. Затем ключи шифруются с помощью RSA-4096 и добавляются в конец каждого зашифрованного файла.
Akira шифрует большее количество файлов одновременно благодаря много-поточности.
Благодаря анализу логов, Нугрохо смог определить, когда именно была запущена программа, и по метаданным выяснил время завершения шифрования. Это позволило ему создать инструмент грубой силы для обнаружения ключа для каждого отдельного файла. Запуск инструмента напрямую на оборудовании оказался неэффективным, поскольку карты RTX 3060 и RTX 3090 работали слишком медленно.
Тогда исследователь обратился к облачным GPU-сервисам RunPod и Vast.ai, которые предоставили достаточные вычислительные мощности по приемлемой цене. Для расшифровки ключа методом грубой силы было использовано 16 графических процессоров RTX 4090, что заняло около десяти часов. В зависимости от количества зашифрованных файлов, весь процесс может занять меньше или больше времени.
В итоге проект занял три недели и обошелся в $1200, но система была успешно восстановлена. Дешифратор теперь доступен на GitHub, и исследователь отметил, что код, вероятно, можно оптимизировать для более высокой производительности. Важно, чтобы перед началом любого подобного эксперимента жертвы создавали резервные копии своих файлов на случай, если что-то пойдет не так.
Источник: TechRadar
