Akira — это опасный многоплатформенный вирус-шифровальщик, который активен с 2023 года. Доступный как сервис для киберпреступников, он нацелился на более чем 250 организаций и принес неизвестным разработчикам до $42 млн.
Йоханес Нугрохо, индонезийский программист, который работает над личными проектами в свободное время, разработал «дешифратор» для вируса-шифровальщика Akira. Инструмент использует новый подход к решению сложной математической задачи, используя высокую параллельность современных GPU для проверки миллионов комбинаций ключей за очень короткое время.
Нугрохо задокументировал своё путешествие через код шифрования файлов Akira на своём личном сайте. Он столкнулся с вариантом Akira для Linux, когда друг попросил помощи. Проанализировав код, Нугрохо обнаружил, что вирус-шифровальщик использует текущее время в качестве начального значения для генерации криптографически сильных ключей шифрования.
Процесс шифрования динамически генерирует уникальные ключи для каждого файла, используя четыре различных временных метки с «наносекундной точностью». Эти ключи затем хешируются через 1500 раундов функции SHA-256. Наконец, ключи шифруются с использованием алгоритма RSA-4096 и добавляются в конец каждого зашифрованного файла.
Экстремальная точность шифрования Akira делает дешифровку сложной и трудоёмкой, поскольку вирус может генерировать более миллиарда возможных значений в секунду. Однако задача Нугрохо была облегчена благодаря логам, предоставленным его другом. С помощью этих данных он смог определить время выполнения вируса. Это позволило ему подготовить эталонные показатели шифрования для оценки времени работы дешифратора.
Нугрохо первоначально попытался провести атаку методом грубой силы на GeForce RTX 3060, но GPU оказался слишком медленным, обрабатывая только 60 млн комбинаций в секунду. Переход на более мощный RTX 3090 не сильно значительно улучшил скорость, поэтому он решил арендовать время GPU через облачные сервисы RunPod и Vast.ai. Используя 16 карт RTX 4090 в облаке, Нугрохо смог завершить процесс за чуть больше 10 часов.
Нугрохо отмечает, что GeForce RTX 4090 — отличный выбор для дешифровки файлов, зашифрованных вирусом Akira, благодаря высокому числу CUDA-ядр и относительно низкой арендной цене. Разработчик сделал свой код доступным под открытой лицензией, призывая «экспертов по GPU» исследовать дальнейшие возможности оптимизации. В своей текущей форме дешифратор Akira может достичь около 1,5 млрд шифровок в секунду для KCipher2 на GeForce RTX 3090.
