Одна RTX 4090 взломала атаку вымогателя Akira методом перебора всего за 7 дней

Метод "грубой силы" (брутфорс) редко упоминается как что-то положительное в компьютерной сфере. Обычно это связано с хакерами, требующими деньги. Однако в этот раз практика бомбардировки системы цифрами в поисках правильной комбинации сработала на стороне "хороших парней" — шифровальщик Akira был взломан всего за семь дней с помощью одной видеокарты RTX 4090.

Tom's Hardware сообщил о работе специалиста Tinyhack, ответственного за этот эксплойт. Блогер подробно описал процесс помощи компании в восстановлении данных после атаки методом перебора. Впечатляет, что такая работа была выполнена на потребительской, хоть и высокоуровневой, видеокарте.

Название Akira может относиться к нескольким типам программ-вымогателей, и уже некоторое время известно, что некоторые из них (хотя и не все) имеют уязвимость к атаке перебором. Исследовательская команда Avast первой обнаружила эту уязвимость и выпустила бесплатный инструмент для борьбы с ней еще в 2023 году. С тех пор эти варианты Akira были исправлены и обновлены, но полученные знания все еще оказываются полезными.

Тип атаки Akira, против которого работает это решение, использует методы шифрования chacha8 и Kcipher2. Эти известные методы применяются для генерации уникальных ключей шифрования для каждого файла. Чтобы максимально усложнить расшифровку, вымогатель использует четыре различных временных метки в наносекундах в качестве исходных данных для генерации.

Использование временных меток имеет как положительные, так и отрицательные стороны для шифрования Akira. С одной стороны, это означает, что расшифровка возможна только если файлы не изменены и все еще имеют временные метки. С другой стороны, точную временную метку получить невозможно, но можно приблизиться достаточно близко (в среднем в пределах 5 миллионов наносекунд), чтобы затем передать задачу компьютеру для финального перебора.

Самая впечатляющая часть эксплойта Tinyhack в том, что все было сделано на одной RTX 4090 всего за семь дней для получения ключей. Затем потребовалось еще три недели, чтобы клиент полностью восстановил свою виртуальную машину без необходимости платить выкуп. Добавление большего количества GPU значительно ускорило бы процесс — по оценкам, это заняло бы всего 10 часов при использовании 16 таких видеокарт.

Блог Tinyhack содержит полное подробное описание процесса и ссылку на полный код на GitHub, а также ссылку на известные хеш-коды для программы-вымогателя Akira.

Однако, сам умелец говорит, что в 99,9% случаев с программами-вымогателеми, восстановление без ключа невозможно.