Адмирации: 16 графични карти RTX 4090 победиха криптирането на Akira Ransomware за 10 часа
Милиардите опити за разтрошаване в секунда не оставят никакъв късмет на хакерите.
Изследователят в региона на киберсигурността Yohanes Nugroho е създал инструмент за декриптиране на файловете, криптирани от Linux версията на рансъмуера Akira. Този инструмент употребява мощта на графичните процесори, с цел да подбере ключовете и да безусловно гратис да възвърне данните.
Nugroho е почнал да работи по декриптографа след молба за помощ от собствен другар. Той считал, че може да възвърне файловете в границите на една седмица, защото логаритъмът на Akira основава ключове въз основа на времеви маркери. Процесът обаче се оказал по-сложен от предстоящото и лишил три седмици. Общо откривателят похарчил $1200 за наемане на графичните ускорители, преди да успее.
За разлика от класическите принадлежности за декриптиране, при които потребителят би трябвало да вкара ключ, програмата на Nugroho употребява метода на грубата мощ. Akira основава неповторим ключ за всеки файл, като употребява настоящата времева марка в наносекунди. Този параметър е основата за генериране на ключа, който по-късно се подлага на 1500 итерации на хеширане с SHA-256.
Тъй като Akira ползва четири разнообразни времеви маркера с висока акуратност, броят на вероятните комбинации е голям, което прави грубата мощ сложна задача. Освен това процесът на криптиране употребява многонишковост, което затруднява установяването на точното време на криптиране на даден файл.
За да стесни търсенето, Нугрохо е проучил систематичните логове, предоставени от негов другар. Чрез анализиране на метаданните на файловете и времевите маркери могат да се основат предвидими профили на криптирането. Първоначалните проби на графичната карта RTX 3060 са посочили незадоволителна продуктивност – единствено 60 милиона опита за декриптиране в секунда. Надграждането до RTX 3090 също не води до доста усъвършенстване.
Проблемът най-сетне бе решен благодарение на облачните услуги RunPod и Vast.ai, които осигуриха нужната изчислителна мощ. Изследователят е употребявал шестнадесет графични карти RTX 4090, с цел да разбие сполучливо ключа, като е приключил подбора на ключа за към 10 часа. При огромен брой криптирани файлове обаче процесът може да отнеме няколко дни.
Според Нугрохо неговият код може да бъде доста усъвършенстван, а експертите по графични процесори сигурно могат да реализират по-голяма успеваемост. Изходният код на декриптора е оповестен в GitHub с подробни указания за възобновяване на данните.
Препоръчва се да се направи аварийно копие на криптираните файлове, преди да се употребява инструментът, защото опитите за декриптиране с неверни ключове могат да доведат до тяхното разваляне.
Но по този начин или другояче това е забавна концепция за справяне с рансъмуера, която има бъдеще.
