Badacz wydaje narzędzie do odszyfrowywania ransomware Akira oparte na GPU

Ekspert ds. cyberbezpieczeństwa Yohanes Nugroho niedawno opracował narzędzie, które wykorzystuje moc obliczeniową procesora graficznego do generowania klucza deszyfrującego, który odblokowuje pliki zaszyfrowane przez ransomware Akira.

Narzędzie do odszyfrowywania Akira oparte na GPU

Po zbadaniu odmiany ransomware Akira, Nugroho zauważył, że używa znaczników czasu do generowania kluczy szyfrujących. To odkrycie sprawiło, że Nugroho uwierzył, że przy użyciu odpowiednich narzędzi algorytm szyfrowania można złamać w ciągu tygodnia.

Chociaż ukończenie projektu zajęło trzy razy więcej czasu, niż przewidywano, zakończyło się sukcesem. Po wydaniu 1200 dolarów na procesory graficzne opracowane przez badacza narzędzie deszyfrujące złamało szyfrowanie Akiry.

Złamanie kluczy metodą brute force

Nugroho zastosował nietypowe podejście do łamania szyfrowania. Tradycyjnie narzędzia deszyfrujące wymagają klucza lub par plików zaszyfrowanych/niezaszyfrowanych.

Jednak Nugroho zastosował metodę brute force, aby odnaleźć klucz deszyfrujący potrzebny do odblokowania plików zaszyfrowanych przez Akirę. Szczególną cechą Akiry jest to, że jej szyfrator używa bieżącego czasu, wyrażonego w nanosekundach, jako ziarna podczas generowania kluczy szyfrujących.

Naukowiec wykorzystał tę cechę, aby siłą złamać klucze szyfrujące, co samo w sobie jest imponującym osiągnięciem, biorąc pod uwagę fakt, że każdy plik jest powiązany z unikalnym kluczem.

Dostępne tylko w systemie Linux

Niestety, narzędzie do deszyfrowania działa tylko na komputerach z systemem Linux i wymaga drogiego procesora graficznego. Nugroho przeprowadził wstępne testy z kartami RTX 3060 i RTX 3090, zanim uznał, że ich wydajność jest słaba i zmienił taktykę.

Ostatecznie badacz wykorzystał do tego celu usługę chmury obliczeniowej GPU; odszyfrowanie danych wymagało mocy obliczeniowej nie mniejszej niż szesnaście procesorów graficznych RTX 4090 i zostało ukończone w ciągu około 10 godzin.

Według badacza proces ten może potrwać jeszcze dłużej, w zależności od liczby plików do odszyfrowania.

Nugroho udostępnił na GitHub narzędzie do deszyfrowania wraz z instrukcją odzyskiwania plików zablokowanych przez Akirę.

Jak uchronić się przed ransomware?

Zapobieganie infekcji jest zawsze lepszym rozwiązaniem w walce z ransomware. Regularne tworzenie kopii zapasowych plików metodą zimnej kopii zapasowej (offline) jest nadal najskuteczniejszym sposobem, aby zapobiec atakom oprogramowania ransomware lub programów czyszczących dane, które mogą uniemożliwić dostęp do plików.

„Specjalistyczne oprogramowanie antywirusowe może wzmocnić Twoją cyfrową obronę przed szeroką gamą cyberzagrożeń. Takie rozwiązanie chroni przed wirusami, trojanami, robakami, atakami typu zero-day, oprogramowaniu szpiegującemu i rootkitom, a także oferuje wielowarstwową ochronę przed oprogramowaniem wymuszającym okup, zapobieganie zagrożeniom sieciowym i atakom internetowym oraz analizę behowioralną” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.