Исследователь безопасности Йоханес Нугрохо выпустил дешифратор для Linux-варианта вымогательского ПО Akira, который использует мощности GPU для получения ключа дешифрования и бесплатной разблокировки файлов.
Нугрохо разработал дешифратор после того, как к нему обратился за помощью друг, посчитав, что найти ключ для зашифрованной системы можно в течение недели, исходя из того, как Akira генерирует ключи шифрования с помощью временных меток.
В итоге проект занял три недели и исследователь потратил 1200 долларов на ресурсы GPU, чтобы взломать ключ шифрования, но в итоге ему это удалось.
Использование графических процессоров для перебора ключей
Дешифратор Нугрохо работает не так, как традиционные инструменты для дешифрования, в которых пользователи предоставляют ключ для разблокировки своих файлов.
Вместо этого он перебирает ключи шифрования (уникальные для каждого файла), используя тот факт, что шифровальщик Akira генерирует свои ключи шифрования на основе текущего времени (в наносекундах).
Семя шифрования – это данные, используемые в криптографических функциях для генерации сильных, непредсказуемых ключей шифрования. Поскольку семя влияет на генерацию ключей, сохранение его в тайне очень важно для предотвращения воссоздания злоумышленниками ключей шифрования и дешифрования с помощью грубой силы или других криптографических атак.
Akira ransomware динамически генерирует уникальные ключи шифрования для каждого файла, используя четыре различных семпла временных меток с наносекундной точностью и хэшируя их с помощью 1500 раундов SHA-256.
Эти ключи шифруются с помощью RSA-4096 и добавляются в конец каждого зашифрованного файла, поэтому расшифровать их без закрытого ключа очень сложно.
Уровень точности временных меток создает более миллиарда возможных значений в секунду, что затрудняет перебор ключей.
Кроме того, Нугрохо говорит, что программа Akira ransomware в Linux шифрует несколько файлов одновременно, используя многопоточность, что затрудняет определение используемой временной метки и создает дополнительные сложности.
Исследователь сузил круг возможных временных меток для брутфорса, изучив файлы журналов, которыми поделился его друг. Это позволило ему увидеть, когда выполнялась программа-вымогатель, метаданные файла, чтобы оценить время завершения шифрования, и получить эталоны шифрования на различном оборудовании для создания предсказуемых профилей.
Первые попытки с использованием RTX 3060 были слишком медленными, их предел составлял всего 60 миллионов тестов шифрования в секунду. Обновление до RTC 3090 тоже не сильно помогло.
В итоге исследователь обратился к облачным GPU-сервисам, которые предлагали достаточно мощности, чтобы подтвердить эффективность своего инструмента.
В частности, он использовал шестнадцать графических процессоров RTX 4090, чтобы перебрать ключ расшифровки примерно за 10 часов. Однако в зависимости от количества зашифрованных файлов, требующих восстановления, процесс может занять пару дней.
Исследователь отметил в своей статье, что специалисты по GPU все еще могут оптимизировать его код, так что производительность, вероятно, может быть улучшена.
Нугрохо выложил расшифровщик на GitHub, а также инструкции по восстановлению зашифрованных Akira файлов.
Как всегда, при попытке расшифровать файлы создайте резервную копию оригинальных зашифрованных файлов, так как существует вероятность повреждения файлов при использовании неправильного ключа расшифровки.
Комментарии (0)