szerző:
HVG
Tetszett a cikk?

2023 óta szedi áldozatait az Akira zsarolóvírus, és a mögötte állók már számos vállalattól szedtek be pénzt az adatok visszaállítása fejében. Voltak már kísérletek a megfékezésére, de ezeket túlélte. Most viszont emberére talált: egy indonéz programozó sikeresen feltörte a többplatformos zsarolóprogramot. Eljárását a megzsaroltak is használhatják.

Legalább 42 millió dollárt szedett már össze fejlesztőinek az Akira zsarolóvírus, amely meglepően magas váltságdíj-kérelmeiről ismert. Nagyvállalatokat céloz meg, olyan cégeket, ahonnan remélheti, hogy fizetnek is az adatok fejében.

Még a megjelenésének évében kiadott az Avast egy ingyenes titkosítás-megszakító eszközt ellene, azonban fejlesztői befoltozták az akkor talált rést, és a program újra teljes erővel garázdálkodhatott. Most viszont emberére akadt: Yohanes Nugroho indonéz programozó kifejlesztett egy dekódolót a ransomware-hez. Egy blogbejegyzésben részletesen leírja a sebezhetőség felfedezésének teljes folyamatát és a visszafejtéséhez szükséges utasításokat.

A leírásból kiderül, hogy a titkosítási folyamat dinamikusan generál egyedi kulcsokat minden egyes fájlhoz, négy különböző időbélyegzőmagot használva „nanoszekundumos pontossággal”. Ezeket a kulcsokat ezután az SHA-256 függvény 1500 körén keresztül kivonatolja, végül az RSA-4096 algoritmussal titkosítja a kulcsokat, és minden titkosított fájl végéhez hozzáfűzi.

A programozó GPU-kat használva készített egy dekódolót az Akira feltörésére, szem előtt tartva, hogy a ransomware titkosítási kulcsai a támadás pontos pillanatán alapulnak (és itt nanoszekundumokról van szó), és minden fájl kulcsa egyedi. A módszer érdekessége, hogy újszerű megközelítést alkalmaz az összetett matematikai probléma megoldására, amely során több millió billentyűkombinációt kell tesztelni nagyon rövid időn belül. A programozó egy barátjától megkapta az egyik támadás naplófájljait, és ebből meg tudta határozni, hogy mikor hajtották végre a ransomware-t. Titkosítási referenciaértékeket készített, hogy megbecsülje, mennyi időt vesz igénybe a visszafejtés.

Yohanes Nugroho

A felhasznált GPU, az RTX 3060 nem volt elég gyors („csak” 60 millió kombinációt dolgozott fel másodperceként), de még egy RTX 3090 GPU használata sem hozott jelentős változást. Ezért egy felhőszolgáltatástól bérelt 16 RTX 4090 GPU-t. Erőfeszítései nem voltak hiába valók: tíz óra alatt, brute force támadással fel tudta törni a ransomware-t.

A programozó elérhetővé tette az eszközét a GitHubon, és arra biztatja a GPU szakértőket, hogy finomítsák és optimalizálják a módszer. Valószínű, hogy az Akira mögött állók gyorsan befoltozzák ezt a kiskaput a jövőbeli támadásokhoz, (ahogy azt az Avast visszafejtési kiadása után is tették), azonban azok, akiket már elért az Akira, visszakaphatják a fájljaikat ezzel a módszerrel.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

HVG

HVG-előfizetés digitálisan is!

Rendelje meg a HVG hetilapot papíron vagy digitálisan, és olvasson minket bárhol, bármikor!