Avast, et førende cybersikkerhedsfirma, har for nylig lanceret en kraftfuld dekryptering til at hjælpe ofre for den berygtede Akira ransomware med at gendanne deres data uden at skulle betale nogen løsesum til de IT-kriminelle.

Akira ransomware dukkede op i marts 2023 og blev hurtigt kendt for sine udbredte angreb på organisationer på tværs af forskellige sektorer verden over.

I juni 2023 tog operatørerne bag Akira det et skridt videre ved at implementere en Linux-variant af krypteringen, specifikt målrettet VMware ESXi virtuelle maskiner. Dette skridt øgede markant antallet af ofre, der blev ofre for deres krypteringsangreb.

Avasts analyse af Akiras krypteringsskema bekræftede tidligere resultater og afslørede, at malwaren brugte en symmetrisk nøgle genereret af CryptGenRandom. Denne nøgle blev derefter krypteret med en RSA-4096 offentlig nøgle, som efterfølgende blev tilføjet til den krypterede fil.

Da hackerne udelukkende besidder den private RSA-dekrypteringsnøgle, var det tilsyneladende umuligt for nogen anden at dekryptere filerne uden at betale den krævede løsesum.

Både Windows- og Linux-versionerne af Akira ransomware fungerer på samme måde ved kryptering af enheder. Linux-varianten bruger dog Crypto++-biblioteket i stedet for Windows CryptoAPI. Selvom Avast ikke eksplicit har afsløret, hvordan det lykkedes dem at knække Akiras kryptering, kan de have udnyttet ransomwarens delvise filkrypteringstilgang.

I tilfælde af Windows krypterer Akira kun filer delvist, hvilket giver mulighed for en hurtigere krypteringsproces. Denne metode varierer baseret på filstørrelsen:

1. Filer mindre end 2.000.000 bytes krypteres kun op til den første halvdel af deres indhold.

2. Filer større end 2.000.000 bytes krypteres i fire blokke, bestemt af en forudberegnet blokstørrelse baseret på den samlede filstørrelse.

Linux-versionen af ​​Akira giver operatører et "-n" kommandolinjeargument, der sætter dem i stand til at angive den nøjagtige procentdel af ofrets filer, der skal krypteres.

Med frigivelsen af ​​Avasts dekryptering vil Akira ransomware-operatørerne sandsynligvis undersøge deres kode for at identificere eventuelle fejl i deres krypteringssystem og straks rette dem for at forhindre fremtidige ofre i at gendanne deres filer gratis.

Windows arkitekturer udsat

Avasts dekrypteringssoftware kommer i to versioner, der henvender sig til både 64-bit og 32-bit Windows-arkitekturer. Brugere anbefales kraftigt at bruge 64-bit versionen på grund af dens højere systemhukommelseskrav til adgangskodeknækning. For at kunne bruge værktøjet med succes skal brugerne levere et par filer - den ene krypteret af Akira og den anden i sin originale almindelige tekstform. Dette vil tillade dekryptering at generere den passende dekrypteringsnøgle.

Avast understreger vigtigheden af ​​at vælge filer med betydelige størrelser, da Akiras blokstørrelsesberegning kan føre til varierende størrelsesgrænser, selv med filer, der kun adskiller sig med én byte. Størrelsen af ​​den originale fil bliver også den øvre grænse for dekryptering, hvilket gør det afgørende at vælge den største tilgængelige fil til fuldstændig datagendannelse.

For at øge sikkerheden giver dekryptering en mulighed for at sikkerhedskopiere krypterede filer, før du forsøger at dekryptere for at forhindre irreversibel datakorruption i tilfælde af problemer.

Selvom Avast i øjeblikket er ved at udvikle en Linux-dekryptering, kan ofre bruge Windows-versionen til at dekryptere filer krypteret i Linux, indtil det dedikerede værktøj bliver tilgængeligt.