Наталя Хандусенко Гаряченьке 17 березня 2025, 17:55

Дослідник безпеки зламав один із найпотужніших хакерських програм-вимагачів за допомогою потужностей графічного процесора

Метод трохи дорогий для відновлення всіх зашифрованих файлів, але це все одно має бути дешевше, ніж сплата викупу.

До дослідника безпеки Йоханса Нугроха звернувся по допомогу до друга, система якого була вражена вірусом Akira в Linux. Проаналізувавши файли журналів, вони визначили, що Akira генерує ключі шифрування за допомогою часових позначок у наносекундах, пише TechRadar.

Початкове шифрування (encryption seed) — це початкове значення, яке використовується для генерації ключів шифрування, що блокують файли жертви. Воно відіграє вирішальну роль у процесі шифрування, часто визначаючи, як саме буде отримано ключ шифрування. У випадку Akira шифрувальник динамічно генерує унікальні ключі шифрування для кожного файлу, використовуючи чотири мітки часу. Потім ключі шифруються за допомогою RSA-4096 і додаються в кінці кожного зашифрованого файлу. Крім того, Akira шифрує більше файлів одночасно завдяки багато поточності.

Однак, переглянувши журнали, дослідник зміг визначити час запуску програми-здирника, а за допомогою метаданих — час завершення шифрування. Після цього він зміг створити інструмент грубого перебору, який може знайти ключ для кожного окремого файлу. Запуск інструменту на попередньо встановленій системі був визнаний неефективним, оскільки RTX 3060 і RTC 3090 займали занадто багато часу.

Тоді дослідник обрав хмарні послуги графічного процесора RunPod та Vast.ai, які надавали достатньо обчислювальної потужності за прийнятною ціною, щоб зробити процес ефективним. Він використав 16 графічних процесорів RTX 4090, щоб знайти ключ до розшифрування приблизно за 10 годин. Залежно від кількості заблокованих файлів, весь процес може зайняти менше або більше часу.

Загалом на проєкт пішло три тижні й $1200, але система була врятована. Дешифрувальник доступний на GitHub, а дослідник додав, що код, ймовірно, можна оптимізувати, щоб він працював ще краще. Варто зазначити, що перед проведенням будь-якого подібного експерименту жертвам варто спочатку створити резервні копії своїх файлів, на випадок, якщо щось піде не так.