More

    Dešifrovanje Linux/ESXi Akira Ransomware datoteka bez plaćanja Ransomware-a

    Istraživač kibernetičke sigurnosti uspješno je razbio enkripciju koju koristi Linux/ESXI varijanta Akira ransomware-a , omogućavajući oporavak podataka bez plaćanja zahtjeva za otkupninom. 

    Ovo otkriće iskorištava kritičnu slabost u metodologiji šifrovanja ransomware-a. Prema istraživaču, maliciozni softver koristi trenutno vrijeme u nanosekundama kao sjeme za svoj proces šifrovanja, što ga čini teoretski ranjivim na napade grubom silom.

    “Iz moje početne analize, primijetio sam da ransomware koristi trenutno vrijeme u nanosekundama kao sjeme,” kaže istraživač Yohanes Nugroho. 

    “Moja početna misao je bila: ‘Ovo bi trebalo biti lako, samo izvršite grubom silom gledajući vremenske oznake datoteke.’ Međutim, pokazalo se da je to znatno složenije.”

    Akira varijanta identifikovana hashom bcae978c17bcddc0bf6419ae978e3471197801c36f73cff2fc88cecbe3d88d1a koristi sofisticiranu šemu šifrovanja koja koristi četiri različite vremenske oznake, svaka sa nano rezolucijom. 

    Zbog ove složenosti dešifrovanje se u početku činilo neizvodljivim, ali su upornost i računska moć na kraju prevladale.

    Istraživač je objavio kompletan izvorni kod i metodologiju na GitHubu , pružajući potencijalni spas za organizacije pogođene ovim specifičnim sojem ransomware-a koji je aktivan od kraja 2023.

    Obrnuti inženjering Ransomware kod

    Istraživač je obrnutim inženjeringom napravio ransomware kod i otkrio da koristi generator slučajnih brojeva Yarrow256 sa vrijednostima vremenske oznake. Osnovna ranjivost leži u funkciji generate_random():

    Ransomware koristi ovu funkciju za generisanje ključeva i za KCipher2 i za Chacha8 algoritme šifrovanja. Svaka datoteka je podijeljena na blokove s procentom šifrovanja prema parametru definisanom od strane napadača:

    GPU-ubrzano brute-force rješenje

    Da bi razbio enkripciju, istraživač je razvio CUDA optimizovan brute-force alat koji koristi GPU visokih performansi.

    Nakon opsežne optimizacije, sistem je postigao približno 1,5 milijardi pokušaja šifrovanja u sekundi na RTX 3090 GPU-u, pri čemu je RTX 4090s isporučio još bolje performanse uz 2,3 puta brže.

    “Testiranje 2 miliona pomaka zahtijevalo bi otprilike 16 dana na jednom GPU-u ili samo 1 dan korištenjem 16 GPU-a,” napomenuo je istraživač . 

    “Sa 4090, isti proces bi se mogao završiti za oko 7 dana na jednom GPU-u ili nešto više od 10 sati sa 16 GPU-a.”

    Zahtjevi procesa oporavka

    Proces dešifrovanja zahtijeva specifične ulaze da bi bio efikasan:

    • Originalne vremenske oznake datoteke prije šifrovanja
    • Poznati parovi otvoreni tekst/šifrovani tekst iz šifrovanih datoteka
    • Dovoljna računarska snaga GPU-a
    • Shell.log fajlovi koji pokazuju kada je ransomware izvršen

    Potpuni izvorni kod i tehnički detalji dostupni su na GitHubu za organizacije koje su možda postale žrtve ove specifične Akire varijante.

    Kako se ransomware razvija, ovaj rad naglašava tekuću trku u naoružanju između napadača i branitelja. 

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories