Один из самых мощных вымогательских вирусов был взломан с помощью мощности графических процессоров.

Исследователь проанализировал работу Akira на Linux и создал инструмент для взлома шифрования методом перебора.

На дешифровку системы ушло 1200 долларов и три недели. Инструмент доступен на GitHub.

Исследователю в области безопасности Йоханесу Нугрохо (Yohanes Nugroho) недавно понадобилась помощь другу, который стал жертвой Akira. После анализа журналов файлов они выяснили, что Akira генерирует ключи шифрования с использованием nanosecond-точных меток времени.

Метод Нугрохо немного дорогой для восстановления всех зашифрованных файлов, но все равно должен быть дешевле, чем уплата выкупа.

Облачные вычисления на помощь

Семя шифрования – это начальное значение, используемое для генерации ключей шифрования, блокирующих файлы жертвы. Оно играет ключевую роль в процессе шифрования, часто определяя, как выводится ключ шифрования. В случае Akira шифратор динамически генерирует уникальные ключи шифрования для каждого файла с использованием четырех семян-меток времени.

Затем ключи шифруются с помощью RSA-4096 и добавляются в конец каждого зашифрованного файла. Кроме того, Akira шифрует больше файлов одновременно с помощью многопоточной обработки.

Однако, проанализировав журналы, исследователь смог определить время запуска вымогательского ПО и по метаданным – время завершения шифрования.

Затем он создал инструмент для взлома методом перебора, который может обнаружить ключ для каждого файла. Запуск инструмента на локальной машине оказался неэффективным, поскольку как RTX 3060, так и RTC 3090 занимали слишком много времени.

Исследователь перешел на облачные GPU-сервисы RunPod & Vast.ai, которые предоставили достаточную вычислительную мощность по разумной цене, чтобы сделать процесс жизнеспособным. Он использовал 16 GPU RTX 4090 для взлома ключа дешифрования примерно за 10 часов. В зависимости от количества заблокированных файлов весь процесс может занимать меньше или больше времени.

В общей сложности проект занял три недели и 1200 долларов, но система была спасена, сообщает BleepingComputer. Дешифратор доступен на GitHub, а исследователь добавил, что код, вероятно, можно оптимизировать для еще лучшей работы.

Стоит отметить, что перед запуском любого такого эксперимента жертвы должны сначала создавать резервные копии своих файлов, на случай непредвиденных обстоятельств.