安全研究员约哈内斯·努格罗霍发布了一款针对Akira勒索软件Linux版本的解密器,该解密器利用GPU算力来恢复解密密钥并免费解锁文件。
努格罗霍在朋友的求助下开发了这款解密器,他判断基于Akira生成加密密钥的方式(使用时间戳),破解加密系统在一周内可行。尽管过程中遇到了一些意外的复杂情况,项目耗时三周,且研究员在破解加密密钥上花费了1200美元用于GPU资源,但他最终还是成功了。
这款解密器并不像传统的解密工具那样需要用户提供密钥来解锁文件。相反,它通过暴力破解加密密钥(每个文件唯一)来工作,这利用了Akira加密程序基于当前时间(纳秒)作为种子生成加密密钥的事实。
加密种子是与加密函数一起使用以生成强大且不可预测的加密密钥的数据。由于种子影响密钥生成,因此保持其秘密性至关重要,以防止攻击者通过暴力破解或其他加密攻击重新创建加密或解密密钥。
Akira勒索软件为每个文件动态生成唯一的加密密钥,使用四个不同时间戳种子(纳秒精度),并通过1500轮SHA-256哈希处理。
用于生成密钥的四个时间戳
来源:tinyhack.com
这些密钥使用RSA-4096加密,并附加在每个加密文件的末尾,因此在没有私钥的情况下很难解密。时间戳中纳秒级的精度使得每秒可能产生超过十亿个值,这使得暴力破解密钥变得困难。
此外,努格罗霍表示,Linux上的Akira勒索软件使用多线程同时加密多个文件,这使得确定所用时间戳变得更加困难,进一步增加了复杂性。
研究人员通过查看朋友分享的日志文件,缩小了暴力破解的时间戳范围。这使他能够看到勒索软件的执行时间,通过文件元数据估计加密完成时间,并在不同硬件上生成加密基准以创建可预测的配置文件。
最初使用RTX 3060的尝试速度太慢,每秒只能进行6000万次加密测试。升级到RTC 3090也没有太大帮助。
最终,研究人员转向使用RunPod & Vast.ai云GPU服务,这些服务提供了足够的算力,并且价格合理,足以确认其工具的有效性。
具体来说,他使用了16个RTX 4090 GPU,在大约10小时内暴力破解了解密密钥。然而,根据需要恢复的加密文件数量,这一过程可能需要几天时间。
研究人员在其书面报告中指出,GPU专家仍可优化他的代码,因此性能可能会进一步提升。
努格罗霍已在GitHub上提供了解密器,并附上了如何恢复Akira加密文件的说明。
与往常一样,在尝试解密文件时,请备份原始加密文件,因为使用错误的解密密钥可能会导致文件损坏。
BleepingComputer尚未测试该工具,无法保证其安全性和有效性,因此使用时需自行承担风险。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容