Avast выпустила дешифратор для Akira ransomware, которая может | SecAtor

Avast выпустила дешифратор для Akira ransomware, которая может помочь жертвам программы-вымогателя восстановить данные.

Банда Akira впервые засветилась в марте 2023 года и успела быстро зарекомендовать себя, нацеливаясь на организации по всему миру в самых разных секторах.

Причем с июня 2023 года операторы начали развертывать Linux-вариант своего шифровальщика для атак на VMware ESXi.

Проведенный Avast анализ схемы шифрования Akira подтверждает предыдущие отчеты.

Вредоносное ПО использует симметричный ключ, сгенерированный CryptGenRandom, который затем шифруется с помощью связанного открытого ключа RSA-4096 и добавляется в конец зашифрованного файла.

Версии программы-вымогателя для Windows и Linux достаточно схожи. Однако в основе версии для Linux библиотека Crypto++ вместо Windows CryptoAPI.

Как известно, Akira в Windows шифрует файлы только частично для ускорения процесса. Для файлов размером менее 2 000 000 байт Akira шифрует только первую половину содержимого файла.

В случае с файлами большего размера вредоносное ПО будет шифровать четыре блока на основе предварительно рассчитанного размера блока, определяемого общим размером файла.

Версия Akira для Linux предоставляет операторам аргумент командной строки, который позволяет им точно определить, какой процент файлов жертвы должен быть зашифрован.

Исследователи Avast не раскрывают подробности того, каким образом им удалось обойти метод частичного шифрования файлов Akira, оставляя ноу-хау в секрете.

Но инструмент для расшифровки Akira представили в двух версиях: для 64-битной и 32-битной архитектуры Windows.

Ресерчеры рекомендуют использовать 64-битную версию, поскольку для взлома пароля потребуется задействовать большой объем системной памяти.

Кроме того, пользователям необходимо выбрать и загрузить в приложение пару файлов, один из которых зашифрован Akira, а другой — в оригинальной текстовой форме. Причем, как можно большего размера.

Дешифратор также позволяет сделать резервную копию зашифрованных файлов перед их расшифровкой.

Сейчас Avast работают над расшифровщиком для Linux, но до его выхода можно использовать текущую версию для расшифровки любых файлов, которые были зашифрованы в Linux.