Onderzoeker ontwikkelt decryptor die encryptiesleutels Akira-ransomware kraakt

[Captain Kirk]

Beveiligingsonderzoeker Yohanes Nugroho meldt een decryptor te hebben ontwikkeld voor de Linux-variant van de Akira-ransomware. De decryptor maakt gebruik van GPU's voor het achterhalen van de encryptiesleutels, om zo versleutelde data weer toegankelijk te maken. De decryptor is door Nugroho ontwikkeld nadat hij door een vriend om hulp werd gevraagd. Veel andere decryptietools ontsleutelen gegijzelde bestanden nadat de gebruiker de encryptiesleutel opgeeft. De decryptor die Nugroho nu deelt kraakt echter de encryptiesleutels die de Akira-ransomware gebruikt.

 

Vier seeds gebaseerd op tijdstempel in nanoseconden

Akira-ransomware genereert unieke encryptiesleutels voor ieder bestand dat het versleutelt met behulp van vier verschillende seeds, gebaseerd op de tijdstempel in nanoseconden. Het hasht deze door 1.500 rondes van SHA-256. Deze sleutels worden vervolgens versleuteld met RSA-4096 en toegevoegd aan het einde van elk versleuteld bestand.

 

Doordat de seed is gebaseerd op de tijd in nanoseconden is het via brute force kraken van de sleutels zeer tijdrovend, aangezien er meer dan een miljard mogelijke waarden per seconde zijn. Ook versleutelt Akira meerdere bestanden gelijktijdig via multi-threading, wat het bepalen van de gebruikte tijdstempel verder bemoeilijkt.

 

Aantal mogelijke seeds terugdringen

Door logbestanden te analyseren wist de onderzoeker te achterhalen wanneer de ransomware was uitgevoerd en wanneer het encryptieproces was afgerond, en zo het aantal mogelijke seeds terug te dringen. Door encryptiebenchmarks uit te voeren op verschillende soorten hardware wist Nugroho het aantal mogelijke seeds daarnaast nog verder in te perken. Dankzij deze informatie slaagde hij erin met behulp van cloudgebaseerde GPU-diensten de encryptiesleutels in ongeveer 10 uur te kraken. Hij maakte daarbij gebruik van zestien RTX 4090 GPU's. Dit proces kostte ongeveer 1.200 dollar.

 

De decryptor is door Nugroho op GitHub beschikbaar gemaakt, inclusief instructies voor het gebruik van de decryptor. Een uitgebreide analyse van het kraken van de encryptiesleutels is hier te vinden.

 

bron: https://www.security.nl