Decifrador gratuito do ransomware Akira ajuda a recuperar seus arquivos
3 de Julho de 2023

A empresa de segurança cibernética Avast lançou um descriptografador gratuito para o ransomware Akira que pode ajudar as vítimas a recuperar seus dados sem pagar nenhum valor aos criminosos.

O Akira apareceu pela primeira vez em março de 2023 e se destacou rapidamente ao atacar organizações em todo o mundo em uma ampla gama de setores.

A partir de junho de 2023, os operadores do Akira começaram a implantar uma variante Linux de seu programa de criptografia para atacar máquinas virtuais VMware ESXi, aumentando a exposição aos ataques de criptografia do grupo.

A análise da Avast sobre o esquema de criptografia do Akira confirma relatórios anteriores, descrevendo que o malware usa uma chave simétrica gerada pelo CryptGenRandom, que é então criptografada por uma chave pública RSA-4096 incluída e anexada ao final de um arquivo criptografado.

Como os atores da ameaça são os únicos a possuir a chave de descriptografia privada do RSA, isso deveria ter impedido que qualquer outra pessoa descriptografasse os arquivos sem primeiro pagar o resgate.

As versões do Akira ransomware para Windows e Linux são muito semelhantes em como elas criptografam os dispositivos.

No entanto, a versão Linux usa a biblioteca Crypto++ em vez do Windows CryptoAPI.

A Avast não explica como conseguiu quebrar a criptografia do Akira, mas a empresa de segurança pode ter explorado a abordagem de criptografia parcial dos arquivos do ransomware.

No Windows, o Akira criptografa apenas parcialmente os arquivos para um processo mais rápido, seguindo um sistema de criptografia diferente dependendo do tamanho do arquivo.
Para arquivos menores que 2.000.000 bytes, o Akira criptografa apenas a primeira metade do conteúdo do arquivo.

Para arquivos maiores que 2.000.000 bytes, o malware criptografa quatro blocos com base em um tamanho de bloco pré-calculado determinado pelo tamanho total do arquivo.

A versão Linux do Akira oferece aos operadores um argumento de linha de comando "-n" que permite que eles determinem precisamente qual porcentagem dos arquivos da vítima deve ser criptografada.

Infelizmente, agora que um descriptografador foi lançado, é provável que a operação do ransomware Akira analise seu código em busca da falha em sua criptografia e a corrija, impedindo que futuras vítimas recuperem os arquivos gratuitamente.

A Avast lançou duas versões do seu descriptografador Akira, uma para arquiteturas do Windows de 64 bits e outra para 32 bits.

A empresa de segurança recomenda usar a versão de 64 bits, pois quebrar a senha requer muita memória do sistema.

Os usuários precisam fornecer à ferramenta um par de arquivos, um criptografado pelo Akira e outro em seu formato original de texto simples, para permitir que a ferramenta gere a chave de descriptografia correta.

"É extremamente importante escolher um par de arquivos o maior possível", alerta a Avast.

"Devido ao cálculo do tamanho do bloco do Akira, pode haver uma diferença dramática no limite de tamanho, mesmo para arquivos que diferem em apenas 1 byte."

O tamanho do arquivo original também será o limite superior de um arquivo que pode ser descriptografado pela ferramenta da Avast, portanto, escolher o maior disponível é crucial para a restauração completa dos dados.

Por fim, o descriptografador oferece a opção de fazer backup dos arquivos criptografados antes de tentar descriptografá-los, o que é recomendado, pois seus dados podem se corromper irreversivelmente se algo der errado.

A Avast diz que está trabalhando em um descriptografador para Linux, mas as vítimas podem usar a versão do Windows por enquanto para descriptografar quaisquer arquivos que tenham sido criptografados no Linux.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...