Η εταιρεία κυβερνοασφάλειας Avast κυκλοφόρησε έναν δωρεάν decryptor για το Akira ransomware, το οποίο μπορεί να βοηθήσει τα θύματα να ανακτήσουν τα δεδομένα τους χωρίς να πληρώσουν χρήματα στους απατεώνες.
Το Akira ransomware εμφανίστηκε για πρώτη φορά τον Μάρτιο του 2023 και έγινε γνωστό συγκεντρώνοντας γρήγορα θύματα, καθώς στόχευε οργανισμούς σε όλο τον κόσμο σε ένα ευρύ φάσμα τομέων.
Από τον Ιούνιο του 2023, οι φορείς εκμετάλλευσης του Akira άρχισαν να αναπτύσσουν μια παραλλαγή Linux του κρυπτογράφου τους για να επιτίθενται σε εικονικές μηχανές VMware ESXi, αυξάνοντας έτσι την έκθεση στις επιθέσεις κρυπτογράφησης της ομάδας.
Δείτε επίσης: Η TSMC φέρεται να παραβιάστηκε από το LockBit ransomware
Δείτε επίσης: Ο χάκερ πίσω από το Gozi malware καταδικάστηκε σε τρία χρόνια φυλάκιση στις ΗΠΑ
Κρυπτογράφηση Akira
Η ανάλυση της Avast για το σύστημα κρυπτογράφησης του Akira ransomware επιβεβαιώνει προηγούμενες αναφορές, αναφέροντας ότι το κακόβουλο λογισμικό χρησιμοποιεί ένα συμμετρικό κλειδί που δημιουργείται από το CryptGenRandom και κρυπτογραφεί με ένα δημόσιο κλειδί RSA-4096, το οποίο στη συνέχεια προσαρτάται στο τέλος ενός κρυπτογραφημένου αρχείου.
Καθώς οι απειλητικοί φορείς είναι οι μόνοι που κατέχουν το ιδιωτικό κλειδί αποκρυπτογράφησης RSA, θα έπρεπε να εμποδίζουν οποιονδήποτε άλλον να αποκρυπτογραφήσει τα αρχεία χωρίς να πληρώσει πρώτα τα λύτρα.
Οι εκδόσεις των Windows και Linux του ransomware Akira μοιάζουν πολύ ως προς την κρυπτογράφηση των συσκευών τους. Ωστόσο, η έκδοση Linux χρησιμοποιεί τη βιβλιοθήκη Crypto++ αντί για το CryptoAPI των Windows.
Η Avast δεν εξηγεί πώς έσπασε την κρυπτογράφηση του Akira- ωστόσο, η εταιρεία ασφαλείας μπορεί να εκμεταλλεύτηκε την προσέγγιση μερικής κρυπτογράφησης αρχείων του ransomware.
Το Akira στα Windows κρυπτογραφεί μερικώς τα αρχεία για ταχύτερη διαδικασία, ακολουθώντας διαφορετικό σύστημα κρυπτογράφησης ανάλογα με το μέγεθος του αρχείου.
Για αρχεία μικρότερα από 2 εκατομμύρια bytes, το Akira θα κρυπτογραφήσει μόνο το πρώτο μισό του περιεχομένου του αρχείου.
Για αρχεία μεγαλύτερα από 2.000.000 bytes, το κακόβουλο λογισμικό θα κρυπτογραφήσει τέσσερα μπλοκ με βάση ένα εκ των προτέρων υπολογισμένο μέγεθος μπλοκ που καθορίζεται από το συνολικό μέγεθος του αρχείου.
Η έκδοση του Akira για Linux παρέχει στους χειριστές ένα όρισμα γραμμής εντολών “-n” που τους επιτρέπει να καθορίσουν ακριβώς ποιο ποσοστό των αρχείων του θύματος θα πρέπει να κρυπτογραφηθεί.
Δυστυχώς, τώρα που κυκλοφόρησε ένας αποκρυπτογράφος, η επιχείρηση του ransomware Akira πιθανότατα θα μελετήσει τον κώδικά της για να βρει το ελάττωμα στην κρυπτογράφησή της και να το διορθώσει, εμποδίζοντας έτσι τα μελλοντικά θύματα να ανακτήσουν τα αρχεία τους δωρεάν.
Δείτε επίσης: BlackCat ransomware: Προωθεί το Cobalt Strike μέσω διαφημίσεων αναζήτησης WinSCP
Ο decryptor της Avast
Η Avast κυκλοφόρησε δύο εκδόσεις του λογισμικού αποκρυπτογράφησης Akira: μία για αρχιτεκτονικές Windows 64-bit και μία για αρχιτεκτονικές Windows 32-bit.
Η εταιρεία ασφαλείας συνιστά τη χρήση της έκδοσης 64-bit, επειδή η παραβίαση του κωδικού πρόσβασης απαιτεί πολλή μνήμη από το σύστημα.
Οι χρήστες πρέπει να παρέχουν στο εργαλείο ένα ζεύγος αρχείων: ένα κρυπτογραφημένο από το Akira και ένα στην αρχική του μορφή απλού κειμένου, ώστε το εργαλείο να παράγει το σωστό κλειδί αποκρυπτογράφησης.
Το μέγεθος του αρχικού αρχείου θα είναι επίσης το ανώτερο όριο ενός αρχείου που μπορεί να αποκρυπτογραφηθεί από το εργαλείο του Avast, οπότε η επιλογή του μεγαλύτερου διαθέσιμου είναι ζωτικής σημασίας για την πλήρη αποκατάσταση των δεδομένων.
Τέλος, ο αποκρυπτογράφος προσφέρει τη δυνατότητα να δημιουργήσετε αντίγραφα ασφαλείας των κρυπτογραφημένων αρχείων πριν επιχειρήσετε να τα αποκρυπτογραφήσετε, κάτι που συνιστάται, καθώς τα δεδομένα σας μπορεί να καταστραφούν ανεπανόρθωτα αν κάτι πάει στραβά.
Η Avast δηλώνει ότι εργάζεται πάνω σε έναν αποκρυπτογράφο για Linux, αλλά τα θύματα μπορούν προς το παρόν να χρησιμοποιήσουν την έκδοση για Windows για να αποκρυπτογραφήσουν τυχόν αρχεία που κρυπτογραφήθηκαν στο Linux.
Πηγή πληροφοριών: bleepingcomputer.com
