Advertentie
Beveiligingsonderzoeker Yohanes Nugroho heeft een decryptor voor de Linux-variant van de Akira-ransomware op GitHub geplaatst. Gebruikers kunnen via deze tool de rekenkracht van gpu's inzetten om vergrendelde bestanden te ontsleutelen.
De ontwikkeling van de decryptor was mogelijk doordat de ransomware unieke encryptiesleutels voor elk bestand genereert op basis van de huidige tijd als seed. Door de logbestanden van het systeem te bekijken door middel van een algoritme en veel rekenkracht is het mogelijk om de decryptiesleutel zelf te genereren.
Om de decryptiesleutel te bemachtigen moeten er vier timestamps worden berekend.
Afhankelijk van de hoeveelheid getroffen bestanden is hier echter aanzienlijk wat rekenkracht voor nodig. Het voorbeeldscenario van Nugroho, met een bereik van 1 miljard nanoseconden en een offset van 2 miljoen, vereiste 16 Nvidia RTX 4090-gpu's die tien uur lang berekeningen uitvoerden. Een enkele RTX 4090 zou hier grofweg zeven dagen voor nodig hebben. Nugroho nuanceert wel dat het proces mogelijk nog kan worden versneld indien "gpu-experts" optimalisaties doorvoeren aan de code.
Aangezien de gemiddelde gebruiker niet beschikt over meerdere high-end videokaarten, koos Nugroho voor clouddiensten zoals Runpod en Vast.ai om de nodige rekenkracht te huren. Volgens de onderzoeker rekent Runpod ongeveer 116 dollar aan om deze berekeningen uit te voeren. De totale kost blijft gelijk voor beide scenario's, aangezien de configuratie met 16 4090's minder tijd nodig heeft om de decryptie te omzeilen.
De voorgestelde kosten gaan echter uit van een perfect uitgevoerd scenario. Hoewel Nugroho de code online heeft gezet, benadrukt hij dat deze voor een specifiek scenario is ontworpen en mogelijk niet voor iedereen zal werken. Indien er fouten worden gemaakt of bepaalde stappen opnieuw moeten worden uitgevoerd, kunnen de kosten bovendien sterk oplopen. De beveiligingsonderzoeker spendeerde gedurende de ontwikkeling van de tool in totaal zelf 1.200 dollar.