Обнаружен способ расшифровки данных через GPU, зашифрованных вирусом-вымогателем Akira

Специалист по кибербезопасности Tinyhack нашёл способ расшифровать файлы, зашифрованные вирусом-вымогателем Akira, без уплаты выкупа. Метод основан на переборе кодов шифрования с использованием видеокарт, что позволяет пострадавшим компаниям вернуть данные.

Вирус Akira, впервые обнаруженный в 2023 году, атакует крупные организации, требуя за восстановление данных миллионы долларов. В прошлом специалисты Avast нашли уязвимость в алгоритме шифрования и выпустили инструмент для его взлома, но вскоре разработчики вируса обновили защиту. Теперь Tinyhack обнаружил новый метод – он использует видеокарты, чтобы подобрать ключи и вернуть доступ к файлам.

Шифрование в Akira основано на временных метках, записанных в наносекундах. Метод перебора позволяет определить, когда именно был зашифрован файл, и на основе этих данных восстановить ключи. Используя NVIDIA RTX 4090, можно расшифровать файлы примерно за 7 дней, а с 16 видеокартами – за 10 часов.

Чтобы метод работал, зашифрованные файлы не должны быть изменены после атаки. Если данные хранятся в сетевом хранилище (NFS), расшифровка становится сложнее из-за задержек сервера, что мешает точно определить момент шифрования.

Метод уже был успешно применён для восстановления данных одной из атакованных компаний. Пострадавшим организациям рекомендуется арендовать мощные серверы с видеокартами через runpod или vast.ai, чтобы ускорить процесс. Полное восстановление виртуальных машин у одного из клиентов заняло 3 недели.

Специалисты предупреждают, что злоумышленники, вероятно, обновят защиту, как это произошло после выпуска инструмента Avast. Однако компании, уже подвергшиеся атаке, могут воспользоваться этим методом, чтобы вернуть свои файлы без уплаты выкупа.