Хакер #305. Многошаговые SQL-инъекции
Компания Avast выпустила бесплатный дешифровщик для файлов, пострадавших во время атак вымогателя Akira. Этот шифровальщик активен с марта 2023 года и успел атаковать не так много жертв, но теперь все они смогут восстановить данные, не выплачивая выкуп злоумышленникам.
СМИ сообщают, что инструмент для расшифровки файлов тайно использовался службами реагирования на инциденты на протяжении нескольких месяцев, прежде чем Avast разработала и выпустила собственную версию, доступную для всех.
Как уже было сказано выше, Akira появился весной 2023 года и довольно быстро привлек к себе внимание, так как был нацелен на самые разные организации по всему миру. К примеру, в список его жертв входят университет Блюфилд, государственный банк в Южной Африке и крупный форекс-брокер London Capital Group.
Начиная с июня 2023 года, операторы Akira стали использовать вариант шифровальщика для Linux, применяя его для атак на виртуальные машины VMware ESXi.
Проведенный Avast анализ схемы шифрования Akira подтвердил предыдущие выводы экспертов о том, что малварь использует симметричный ключ, сгенерированный CryptGenRandom, который затем шифруется с помощью связанного открытого ключа RSA-4096 и добавляется в конец зашифрованного файла. Поскольку хакеры — единственные, кто владеет приватным ключом RSA, это должно было помешать прочим сторонам расшифровать файлы без выплаты выкупа.
Версии Akira для Windows и Linux очень похожи в том, как они шифруют устройства. Однако версия для Linux использует библиотеку Crypto++ вместо Windows CryptoAPI.
Хотя специалисты Avast не объясняют, как именно им удалось взломать шифрование Akira, предполагается, что они могли эксплуатировать частичное шифрование файлов, которое применяет вымогатель.
Так, в Windows для ускорения процесса вредонос шифрует файлы только частично и применяет разные системы шифрования, зависящие от размера файла. Например, для файлов размером менее 2 000 000 байт Akira шифрует только первую половину содержимого файла. Для файлов размером более 2 000 000 байт малварь будет шифровать четыре блока, основываясь на предварительно рассчитанном размере блока, определяемым общим размером файла.
Avast выпустила две версии инструмента для расшифровки: одну для 64-разрядной и одну для 32-разрядной архитектуры Windows. Специалисты рекомендуют использовать 64-разрядную версию, поскольку для взлома пароля требуется много памяти.
Чтобы инструмент сумел сгенерировать корректный ключ дешифрования, пользователю нужно предоставить ему пару файлов, один из которых зашифрован Akira, а другой является оригиналом в текстовой форме.
«Очень важно выбрать пару файлов настолько больших размеров, насколько сможете найти», — пишут в Avast.
Дело в том, что размер исходного файла станет верхним пределом для файлов, которые сможет расшифровать инструмент Avast. Поэтому выбор самого большого доступного файла имеет решающее значение для полного восстановления данных.