A empresa de segurança cibernética Avast lançou um descriptografador gratuito para o ransomware Akira que pode ajudar as vítimas a recuperar seus dados sem pagar nenhum valor aos criminosos.
O Akira apareceu pela primeira vez em março de 2023 e se destacou rapidamente ao atacar organizações em todo o mundo em uma ampla gama de setores.
A partir de junho de 2023, os operadores do Akira começaram a implantar uma variante Linux de seu programa de criptografia para atacar máquinas virtuais VMware ESXi, aumentando a exposição aos ataques de criptografia do grupo.
A análise da Avast sobre o esquema de criptografia do Akira confirma relatórios anteriores, descrevendo que o malware usa uma chave simétrica gerada pelo CryptGenRandom, que é então criptografada por uma chave pública RSA-4096 incluída e anexada ao final de um arquivo criptografado.
Como os atores da ameaça são os únicos a possuir a chave de descriptografia privada do RSA, isso deveria ter impedido que qualquer outra pessoa descriptografasse os arquivos sem primeiro pagar o resgate.
As versões do Akira ransomware para Windows e Linux são muito semelhantes em como elas criptografam os dispositivos.
No entanto, a versão Linux usa a biblioteca Crypto++ em vez do Windows CryptoAPI.
A Avast não explica como conseguiu quebrar a criptografia do Akira, mas a empresa de segurança pode ter explorado a abordagem de criptografia parcial dos arquivos do ransomware.
No Windows, o Akira criptografa apenas parcialmente os arquivos para um processo mais rápido, seguindo um sistema de criptografia diferente dependendo do tamanho do arquivo.
Para arquivos menores que 2.000.000 bytes, o Akira criptografa apenas a primeira metade do conteúdo do arquivo.
Para arquivos maiores que 2.000.000 bytes, o malware criptografa quatro blocos com base em um tamanho de bloco pré-calculado determinado pelo tamanho total do arquivo.
A versão Linux do Akira oferece aos operadores um argumento de linha de comando "-n" que permite que eles determinem precisamente qual porcentagem dos arquivos da vítima deve ser criptografada.
Infelizmente, agora que um descriptografador foi lançado, é provável que a operação do ransomware Akira analise seu código em busca da falha em sua criptografia e a corrija, impedindo que futuras vítimas recuperem os arquivos gratuitamente.
A Avast lançou duas versões do seu descriptografador Akira, uma para arquiteturas do Windows de 64 bits e outra para 32 bits.
A empresa de segurança recomenda usar a versão de 64 bits, pois quebrar a senha requer muita memória do sistema.
Os usuários precisam fornecer à ferramenta um par de arquivos, um criptografado pelo Akira e outro em seu formato original de texto simples, para permitir que a ferramenta gere a chave de descriptografia correta.
"É extremamente importante escolher um par de arquivos o maior possível", alerta a Avast.
"Devido ao cálculo do tamanho do bloco do Akira, pode haver uma diferença dramática no limite de tamanho, mesmo para arquivos que diferem em apenas 1 byte."
O tamanho do arquivo original também será o limite superior de um arquivo que pode ser descriptografado pela ferramenta da Avast, portanto, escolher o maior disponível é crucial para a restauração completa dos dados.
Por fim, o descriptografador oferece a opção de fazer backup dos arquivos criptografados antes de tentar descriptografá-los, o que é recomendado, pois seus dados podem se corromper irreversivelmente se algo der errado.
A Avast diz que está trabalhando em um descriptografador para Linux, mas as vítimas podem usar a versão do Windows por enquanto para descriptografar quaisquer arquivos que tenham sido criptografados no Linux.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...