Descifrador para el ransomware Akira en Linux: desbloqueo de archivos con GPU

El investigador de seguridad Yohanes Nugroho ha desarrollado un descifrador para la variante de Linux del ransomware Akira. Esta herramienta utiliza la potencia de la GPU para recuperar la clave de descifrado, permitiendo desbloquear archivos cifrados de forma gratuita.

Desarrollo del descifrador de Akira para Linux

Nugroho creó este descifrador tras la solicitud de ayuda de un amigo, estimando inicialmente que el cifrado de Akira podía resolverse en una semana. Su análisis se basó en la forma en que Akira genera claves de cifrado utilizando marcas de tiempo. Sin embargo, el proceso se prolongó a tres semanas debido a complejidades técnicas imprevistas. Para lograrlo, el investigador invirtió $1,200 en recursos de GPU hasta obtener la clave de descifrado.

Cómo funciona el descifrador

A diferencia de los descifradores convencionales, la herramienta de Nugroho no requiere una clave de descifrado previa. En su lugar, emplea fuerza bruta para encontrar las claves de cifrado, aprovechando que Akira las genera en función del tiempo actual en nanosegundos como semilla.

Una semilla de cifrado es un dato crucial para la generación de claves seguras. En el caso de Akira, se utilizan cuatro marcas de tiempo diferentes con una precisión de nanosegundos y se someten a 1.500 rondas de SHA-256. Posteriormente, estas claves se cifran con RSA-4096 y se incrustan al final de cada archivo cifrado, lo que hace que el descifrado sin la clave privada sea extremadamente difícil.

El alto nivel de precisión de tiempo implica que se generan más de mil millones de valores posibles por segundo, lo que complica la fuerza bruta. Además, Akira en Linux cifra múltiples archivos simultáneamente mediante subprocesos múltiples, lo que dificulta aún más la determinación de las marcas de tiempo exactas.

Uso de GPU para recuperar archivos cifrados

Para reducir el rango de marcas de tiempo posibles, Nugroho analizó los archivos de registro compartidos por su amigo. Esto le permitió identificar el momento en que se ejecutó el ransomware y estimar los tiempos de finalización del cifrado. También realizó pruebas de cifrado en diferentes configuraciones de hardware para generar perfiles predecibles.

Inicialmente, intentó forzar la clave de descifrado con una GPU RTX 3060, pero el rendimiento fue insuficiente, alcanzando solo 60 millones de pruebas por segundo. La actualización a una RTX 3090 tampoco ofreció mejoras significativas. Finalmente, recurrió a los servicios de GPU en la nube RunPod y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que proporcionaron la potencia necesaria a un costo accesible.

Utilizando dieciséis GPU RTX 4090, logró descifrar la clave en aproximadamente 10 horas. No obstante, el tiempo de recuperación varía según la cantidad de archivos cifrados, pudiendo extenderse varios días.

Disponibilidad del descifrador

Nugroho ha publicado su herramienta en GitHub junto con instrucciones detalladas para recuperar archivos cifrados por Akira. Se recomienda realizar una copia de seguridad de los archivos cifrados antes de intentar el descifrado, ya que existe el riesgo de corrupción si se usa una clave incorrecta.

BleepingComputer no ha probado la herramienta y no puede garantizar su seguridad o efectividad. Por lo tanto, su uso es bajo responsabilidad del usuario.

En conclusion, el descifrador de Nugroho representa un avance significativo en la lucha contra el ransomware Akira en Linux. Sin embargo, su rendimiento aún puede mejorar con la optimización del código. Este desarrollo destaca la importancia del análisis criptográfico y el poder de las GPU en la recuperación de archivos cifrados.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta