正文:

dreaded Akira 勒索软件攻击再次被发现存在漏洞。Blogger Tinyhack 发现了一种新的漏洞,可以通过暴力破解该病毒的加密方式,并且据报道已经使用它来恢复一家受攻击公司的数据。由于基于 GPU 的暴力破解反击,受影响的公司现在可能能够摆脱著名的勒索软件网络攻击 Akira。 通过使用一块 RTX 4090,Tinyhack 发现他们可以在七天内破解加密的勒索软件文件,而使用 16 块 GPU,该过程只需十个多小时。

Akira 是一种针对高调目标的勒索软件攻击,于 2023 年首次被发现,并以荒谬的高额赎金请求而闻名(有时高达数千万美元)。2023 年,Avast 的威胁研究团队发现了 Akira 用来加密受害者文件的方法,并发布了一个免费的加密破解工具,以使计算机免受可怕的攻击。然后,Akira 修复了这个备受瞩目的漏洞,在其最初公开可用的加密方法中添加了一些定制细节。

至少有一种 Akira 变体使用了一种加密方法,可以通过新的基于 GPU 的暴力破解方法在几天或几周内解密。Akira 攻击使用 chacha8 和 Kcipher2 加密方法来生成每个文件的加密密钥,使用四个不同的时间戳(以纳秒为单位)作为种子。这些时间戳可以推断到平均 500 万纳秒(0.005 秒)的狭窄范围内,然后通过暴力破解精确找到,这个过程需要使用 Nvidia 的 RTX 3090 或 4090 等高端 GPU。

希望执行解密方法的人必须做对几件事。加密文件在加密后必须保持未触碰状态,以便找到上次访问该文件的时间戳并用于暴力破解。使用 NFS(而不是文件仅位于网络的本地磁盘上)也会使解密复杂化,因为服务器滞后会使确定加密使用的真实时间戳更加困难。

使用 RTX 4090,通过运行平均 450 万纳秒范围内的每个可能的纳秒,找到正确的四个时间戳并生成适当的解密密钥来解密单个文件大约需要 7 天。建议受影响的组织通过 runpod 或 vast.ai 等服务租用服务器,使用多个 GPU 服务器来缩短时间。Tinyhack 的客户花了大约 3 周时间才成功解密整套 VM 文件。

勒索软件攻击通常不可能在不支付赎金的情况下解密,因此找到一种规避攻击的方法对于网络安全研究来说是一个巨大的胜利。虽然 Akira 背后的那些人可能会像 Avast 解密版本发布后那样,迅速修补这种方法以用于未来的攻击,但那些已经受到 Akira 攻击的人或许能够通过这种方法来释放受感染的系统。

Tinyhack 的博客文章 介绍了发现漏洞的整个过程以及使用它进行解密的完整说明,因此请前往该处详细了解暴力破解进入 Akira 的方法。勒索软件自从在通过邮件发送的软盘上开始发展以来,已经走了很长一段路,今天标志着又一次战胜它。