Puterea GPU locală nu a fost suficientă pentru a recupera rapid fișierele criptate
În context: Akira este o amenințare periculoasă, multiplatform de ransomware, care este activă din 2023. Disponibil ca produs ransomware-as-a-service pentru a scrita kiddies și cybercriminale, malware-ul a vizat peste 250 de organizații și a câștigat până la 42 de milioane de dolari pentru dezvoltatorii săi necunoscuți.
Yohanes Nugroho, un programator indonezian care lucrează la proiecte de codificare personală în timpul liber, a dezvoltat un „decriptor” pentru ransomware -ul Akira. Instrumentul folosește o abordare nouă pentru a rezolva o problemă matematică complexă, exploatând paralelismul ridicat al GPU -urilor moderne pentru a testa milioane de combinații cheie într -un interval de timp foarte scurt.
Nugroho și-a documentat călătoria prin codul de incriptare a fișierelor Akira pe site-ul său personal. S -a implicat cu o variantă Linux a Akira după ce un prieten a cerut ajutor. La analizarea codului, Nugroho a descoperit că ransomware -ul folosește timpul curent ca semințe pentru a genera taste de criptare puternice criptografice.
Procesul de criptare generează dinamic taste unice pentru fiecare fișier, folosind patru semințe de timp diferite cu „Precizie nanosecundă”. Aceste taste sunt apoi trase prin 1.500 de runde din funcția SHA-256. În cele din urmă, cheile sunt criptate folosind algoritmul RSA-4096 și sunt anexate la sfârșitul fiecărui fișier criptat.
Precizia extremă a criptării Akira face ca decriptarea să funcționeze complexă și obositoare, deoarece malware -ul poate genera mai mult de un miliard de valori posibile pe secundă. Cu toate acestea, sarcina lui Nugroho a fost făcută mai ușor datorită fișierelor de jurnal furnizate de prietenul său. Cu aceste date, el a fost capabil să stabilească când a fost executat ransomware -ul, permițându -i să pregătească reperele de criptare pentru a estima cât timp va dura decriptorul.
Nugroho a încercat inițial să efectueze un atac de forță brută asupra unui GeForce RTX 3060, dar GPU a fost prea lent, prelucrând doar 60 de milioane de combinații pe secundă. Trecerea la un GPU de nivel superior (RTX 3090) nu a îmbunătățit semnificativ viteza, așa că a decis să închirieze timp GPU prin intermediul serviciilor cloud runpod și vast.ai. Folosind 16 GPU -uri RTX 4090 în cloud, Nugroho a reușit să finalizeze procesul de referință în puțin peste 10 ore.
Nugroho observă că GeForce RTX 4090 ar fi o alegere excelentă pentru decriptarea fișierelor compromise de Akira Ransomware, datorită numărului mare de nuclee CUDA și prețului de închiriere relativ scăzut. Dezvoltatorul și-a pus codul disponibil sub o licență open-source, încurajând „experți GPU” să exploreze oportunități de optimizare suplimentare. În forma sa actuală, decriptorul Akira poate realiza în jur de 1,5 miliarde de criptare pe secundă pentru KCIPHER2 pe un GeForce RTX 3090.
