Site icon Kiber.ba

Dešifrovanje Linux/ESXi Akira Ransomware datoteka bez plaćanja Ransomware-a

Dešifrovanje Linux/ESXi Akira Ransomware datoteka bez plaćanja Ransomware-a-Kiber.ba

Dešifrovanje Linux/ESXi Akira Ransomware datoteka bez plaćanja Ransomware-a-Kiber.ba

Istraživač kibernetičke sigurnosti uspješno je razbio enkripciju koju koristi Linux/ESXI varijanta Akira ransomware-a , omogućavajući oporavak podataka bez plaćanja zahtjeva za otkupninom. 

Ovo otkriće iskorištava kritičnu slabost u metodologiji šifrovanja ransomware-a. Prema istraživaču, maliciozni softver koristi trenutno vrijeme u nanosekundama kao sjeme za svoj proces šifrovanja, što ga čini teoretski ranjivim na napade grubom silom.

“Iz moje početne analize, primijetio sam da ransomware koristi trenutno vrijeme u nanosekundama kao sjeme,” kaže istraživač Yohanes Nugroho. 

“Moja početna misao je bila: ‘Ovo bi trebalo biti lako, samo izvršite grubom silom gledajući vremenske oznake datoteke.’ Međutim, pokazalo se da je to znatno složenije.”

Akira varijanta identifikovana hashom bcae978c17bcddc0bf6419ae978e3471197801c36f73cff2fc88cecbe3d88d1a koristi sofisticiranu šemu šifrovanja koja koristi četiri različite vremenske oznake, svaka sa nano rezolucijom. 

Zbog ove složenosti dešifrovanje se u početku činilo neizvodljivim, ali su upornost i računska moć na kraju prevladale.

Istraživač je objavio kompletan izvorni kod i metodologiju na GitHubu , pružajući potencijalni spas za organizacije pogođene ovim specifičnim sojem ransomware-a koji je aktivan od kraja 2023.

Obrnuti inženjering Ransomware kod

Istraživač je obrnutim inženjeringom napravio ransomware kod i otkrio da koristi generator slučajnih brojeva Yarrow256 sa vrijednostima vremenske oznake. Osnovna ranjivost leži u funkciji generate_random():

Ransomware koristi ovu funkciju za generisanje ključeva i za KCipher2 i za Chacha8 algoritme šifrovanja. Svaka datoteka je podijeljena na blokove s procentom šifrovanja prema parametru definisanom od strane napadača:

GPU-ubrzano brute-force rješenje

Da bi razbio enkripciju, istraživač je razvio CUDA optimizovan brute-force alat koji koristi GPU visokih performansi.

Nakon opsežne optimizacije, sistem je postigao približno 1,5 milijardi pokušaja šifrovanja u sekundi na RTX 3090 GPU-u, pri čemu je RTX 4090s isporučio još bolje performanse uz 2,3 puta brže.

“Testiranje 2 miliona pomaka zahtijevalo bi otprilike 16 dana na jednom GPU-u ili samo 1 dan korištenjem 16 GPU-a,” napomenuo je istraživač . 

“Sa 4090, isti proces bi se mogao završiti za oko 7 dana na jednom GPU-u ili nešto više od 10 sati sa 16 GPU-a.”

Zahtjevi procesa oporavka

Proces dešifrovanja zahtijeva specifične ulaze da bi bio efikasan:

Potpuni izvorni kod i tehnički detalji dostupni su na GitHubu za organizacije koje su možda postale žrtve ove specifične Akire varijante.

Kako se ransomware razvija, ovaj rad naglašava tekuću trku u naoružanju između napadača i branitelja. 

Izvor: CyberSecurityNews

Exit mobile version