令人闻风丧胆的Akira勒索软件攻击再次被攻破。博客作者Tinyhack发现了一种新的暴力破解方法,用于破解该病毒的加密技术,并且据称已经成功利用此方法恢复了一家遭受攻击公司的数据。Akira,这一知名的勒索软件网络攻击,现在可能因一种基于GPU的暴力破解反击方法而被受影响的公司逃脱。通过使用RTX 4090显卡,Tinyhack发现可以在七天内破解加密的文件,而在16个GPU的协同工作下,这个过程仅需十多个小时。
Akira是一种针对高价值目标的勒索软件攻击,首次发现于2023年,以其高额的赎金要求而臭名昭著(有时高达数千万美元)。2023年,Avast的威胁研究团队发现了Akira用于加密受害者文件的方法,并发布了一款免费的加密破坏工具,以帮助受攻击的计算机。随后,Akira修补了这一众所周知的漏洞,并在其原本公开可用的加密方法中添加了一些定制细节。
至少有一种Akira变体使用了一种可以在几天或几周内通过新的基于GPU的暴力破解方法进行解密的加密方法。Akira攻击使用chacha8和Kcipher2加密方法生成每个文件的加密密钥,使用四个不同的纳秒级时间戳作为种子。这些时间戳可以推断出平均500万纳秒(0.005秒)的严格范围,然后通过暴力破解精确找到,这一过程需要使用高端GPU,例如Nvidia的RTX 3090或4090。
对于那些希望执行解密方法的人来说,有几件事必须顺利进行。加密文件必须在加密后未被触碰,以便可以找到文件最后访问的时间戳并用于暴力破解。使用NFS(而不是仅仅存在于网络本地磁盘上的文件)也可能使解密复杂化,因为服务器延迟将更难确定加密使用的真实时间戳。
使用RTX 4090,通过运行平均450万纳秒范围内的每个可能的纳秒,找到正确的四个时间戳并生成适当的解密密钥,解密单个文件大约需要7天。建议受影响的组织通过runpod或vast.ai等服务租用服务器,使用多个GPU服务器以缩短时间。Tinyhack的客户花了大约3周时间成功解密了一整套VM文件。
勒索软件攻击在大多数情况下无法解密,除非支付赎金,因此找到一种规避攻击的方法对网络安全研究来说是一个重大胜利。虽然Akira背后的开发人员可能会像在Avast解密发布后那样迅速修补这一方法以防止未来的攻击,但那些已经受到Akira攻击的人可能能够使用这种方法清除受感染系统。
Tinyhack的博客文章详细介绍了发现漏洞的整个过程以及解密的全套说明,因此请前往那里获取详尽的暴力破解Akira的方法。勒索软件自其通过邮寄软盘开始以来已经走过了漫长的道路,而今天是针对它的又一场胜利。
