Милиардите опити за разбиване в секунда не оставят никакъв шанс на хакерите.

Изследователят в областта на киберсигурността Yohanes Nugroho е разработил инструмент за декриптиране на файловете, криптирани от Linux версията на рансъмуера Akira. Този инструмент използва мощта на графичните процесори, за да подбере ключовете и да абсолютно безплатно да възстанови данните.

Nugroho е започнал да работи по декриптографа след молба за помощ от свой приятел. Той смятал, че може да възстанови файловете в рамките на една седмица, тъй като алгоритъмът на Akira създава ключове въз основа на времеви маркери. Процесът обаче се оказал по-сложен от очакваното и отнел три седмици. Общо изследователят похарчил $1200 за наемане на графичните ускорители, преди да успее.

За разлика от класическите инструменти за декриптиране, при които потребителят трябва да въведе ключ, програмата на Nugroho използва метода на грубата сила. Akira създава уникален ключ за всеки файл, като използва текущата времева марка в наносекунди. Този параметър е основата за генериране на ключа, който след това се подлага на 1500 итерации на хеширане с SHA-256.

Тъй като Akira прилага четири различни времеви маркера с висока точност, броят на възможните комбинации е огромен, което прави грубата сила трудна задача. Освен това процесът на криптиране използва многонишковост, което затруднява установяването на точното време на криптиране на даден файл.

За да стесни търсенето, Нугрохо е проучил системните логове, предоставени от негов приятел. Чрез анализиране на метаданните на файловете и времевите маркери могат да се създадат предвидими профили на криптирането. Първоначалните тестове на графичната карта RTX 3060 са показали недостатъчна производителност – само 60 милиона опита за декриптиране в секунда. Надграждането до RTX 3090 също не води до значително подобрение.

Проблемът най-накрая бе решен с помощта на облачните услуги RunPod и Vast.ai, които осигуриха необходимата изчислителна мощност. Изследователят е използвал шестнадесет графични карти RTX 4090, за да разбие успешно ключа, като е завършил подбора на ключа за около 10 часа. При голям брой криптирани файлове обаче процесът може да отнеме няколко дни.

Според Нугрохо неговият код може да бъде значително оптимизиран, а специалистите по графични процесори със сигурност могат да постигнат по-голяма ефективност. Изходният код на декриптора е публикуван в GitHub с подробни инструкции за възстановяване на данните.

Препоръчва се да се направи резервно копие на криптираните файлове, преди да се използва инструментът, тъй като опитите за декриптиране с грешни ключове могат да доведат до тяхното повреждане.

Но така или иначе това е интересна идея за справяне с рансъмуера, която има бъдеще.