Η δωρεάν αποκρυπτογράφηση ransomware Akira βοηθά στην ανάκτηση των αρχείων σας
Related Posts
Η εταιρεία κυβερνοασφάλειας Avast κυκλοφόρησε έναν δωρεάν αποκρυπτογραφητή για το ransomware Akira που μπορεί να βοηθήσει τα θύματα να ανακτήσουν τα δεδομένα τους χωρίς να πληρώσουν χρήματα στους απατεώνες.
Το Akira εμφανίστηκε για πρώτη φορά τον Μάρτιο του 2023 και έκανε όνομα συγκεντρώνοντας γρήγορα θύματα καθώς στόχευε οργανισμούς σε όλο τον κόσμο σε ένα ευρύ φάσμα τομέων.
Από τον Ιούνιο του 2023, οι χειριστές του Akira άρχισαν να αναπτύσσουν μια παραλλαγή Linux του κρυπτογραφητή τους για να επιτεθούν σε εικονικές μηχανές VMware ESXi, αυξάνοντας την έκθεση στις επιθέσεις κρυπτογράφησης του ομίλου.
Κρυπτογράφηση Akira
Η ανάλυση της Avast για το σύστημα κρυπτογράφησης του Akira επιβεβαιώνει προηγούμενες αναφορές, που περιγράφουν ότι το κακόβουλο λογισμικό χρησιμοποιεί ένα συμμετρικό κλειδί που δημιουργείται από το CryptGenRandom, το οποίο στη συνέχεια κρυπτογραφείται από ένα ομαδοποιημένο δημόσιο κλειδί RSA-4096 και προστίθεται στο τέλος ενός κρυπτογραφημένου αρχείου.
Καθώς οι φορείς απειλών είναι οι μόνοι που διαθέτουν το ιδιωτικό κλειδί αποκρυπτογράφησης RSA, θα έπρεπε να είχε εμποδίσει οποιονδήποτε άλλο να αποκρυπτογραφήσει τα αρχεία χωρίς να πληρώσει πρώτα λύτρα.
Οι εκδόσεις Windows και Linux του Akira ransomware είναι πολύ παρόμοιες στον τρόπο με τον οποίο κρυπτογραφούν τις συσκευές. Ωστόσο, η έκδοση Linux χρησιμοποιεί τη βιβλιοθήκη Crypto++ αντί για το Windows CryptoAPI.
Δομή του υποσέλιδου ενός αρχείου κρυπτογραφημένου από τον Akira
(Avast)
Η Avast δεν εξηγεί πώς έσπασε την κρυπτογράφηση του Akira, αλλά η εταιρεία ασφαλείας μπορεί να εκμεταλλεύτηκε την προσέγγιση μερικής κρυπτογράφησης αρχείων του ransomware.
Το Akira στα Windows κρυπτογραφεί αρχεία μόνο εν μέρει για ταχύτερη διαδικασία, ακολουθώντας ένα διαφορετικό σύστημα κρυπτογράφησης ανάλογα με το μέγεθος του αρχείου.
Για αρχεία μικρότερα από 2.000.000 byte, το Akira θα κρυπτογραφεί μόνο το πρώτο μισό των περιεχομένων του αρχείου.
Για αρχεία μεγαλύτερα από 2.000.000 byte, το κακόβουλο λογισμικό θα κρυπτογραφήσει τέσσερα μπλοκ με βάση ένα προ-υπολογισμένο μέγεθος μπλοκ που καθορίζεται από το συνολικό μέγεθος του αρχείου.
Η έκδοση Linux του Akira δίνει στους χειριστές ένα όρισμα γραμμής εντολών “-n” που τους επιτρέπει να προσδιορίσουν με ακρίβεια ποιο ποσοστό των αρχείων του θύματος πρέπει να είναι κρυπτογραφημένα.
Δυστυχώς, τώρα που κυκλοφόρησε ένας αποκρυπτογραφητής, η λειτουργία Akira ransomware πιθανότατα θα περάσει πάνω από τον κώδικά του για να βρει το ελάττωμα στην κρυπτογράφηση και να το διορθώσει, εμποδίζοντας τα μελλοντικά θύματα να ανακτήσουν αρχεία δωρεάν.
Ο αποκρυπτογραφητής Avast
Η Avast κυκλοφόρησε δύο εκδόσεις του λογισμικού αποκρυπτογράφησης Akira,
ένα για 64-bit
και
ένα για 32-bit
Αρχιτεκτονικές των Windows.
Η εταιρεία ασφαλείας συνιστά τη χρήση της έκδοσης 64-bit, επειδή η διάρρηξη του κωδικού πρόσβασης απαιτεί πολλή μνήμη συστήματος.
Η διάρρηξη του κωδικού πρόσβασης μπορεί να πάρει κάποιο χρόνο
(Avast)
Οι χρήστες πρέπει να παρέχουν στο εργαλείο ένα ζεύγος αρχείων, ένα κρυπτογραφημένο από τον Akira και ένα στην αρχική του μορφή απλού κειμένου, ώστε να επιτρέπεται στο εργαλείο να δημιουργήσει το σωστό κλειδί αποκρυπτογράφησης.
“Είναι εξαιρετικά σημαντικό να επιλέξετε ένα ζευγάρι αρχείων που είναι όσο μεγάλα μπορείτε να βρείτε.”
προειδοποιεί η Avast
.
“Λόγω του υπολογισμού του μεγέθους μπλοκ του Akira, ενδέχεται να υπάρχει δραματική διαφορά στο όριο μεγέθους ακόμη και για αρχεία που διαφέρουν κατά 1 byte.”
Το ζεύγος αρχείων αναλύθηκε στον αποκρυπτογραφητή
(Avast)
Το μέγεθος του αρχικού αρχείου θα είναι επίσης το ανώτερο όριο ενός αρχείου που μπορεί να αποκρυπτογραφηθεί από το εργαλείο της Avast, επομένως η επιλογή του μεγαλύτερου διαθέσιμου είναι ζωτικής σημασίας για την πλήρη αποκατάσταση δεδομένων.
Τέλος, ο αποκρυπτογραφητής προσφέρει την επιλογή δημιουργίας αντιγράφων ασφαλείας κρυπτογραφημένων αρχείων πριν επιχειρήσετε να τα αποκρυπτογραφήσετε, κάτι που συνιστάται, καθώς τα δεδομένα σας ενδέχεται να καταστραφούν ανεπανόρθωτα εάν κάτι πάει στραβά.
Η Avast λέει ότι εργάζονται σε έναν αποκρυπτογραφητή Linux, αλλά τα θύματα μπορούν να χρησιμοποιήσουν την έκδοση των Windows προς το παρόν για να αποκρυπτογραφήσουν τυχόν αρχεία που ήταν κρυπτογραφημένα στο Linux.
