Giải Mã Ransomware Akira trên Hệ Thống Linux/ESXi: Thành Công mà Không Trả Chuộc

14/03/2025
2 mins read

Trong bài viết này, một nhóm đã thành công trong việc giải mã một trường hợp của ransomware Akira trên các hệ thống Linux/ESXi mà không phải trả tiền chuộc. Dưới đây là các điểm chính từ bài viết:

  • Quá trình mã hóa:
    • Ransomware Akira sử dụng một sơ đồ mã hóa tinh vi, bao gồm bốn dấu thời gian riêng biệt, mỗi dấu có độ phân giải nanosecond, để làm hạt giống cho thuật toán Yarrow256. Quá trình này liên quan đến nhiều vòng băm SHA-256, làm cho các cuộc tấn công brute-force trở nên khó khăn.
  • Cách tiếp cận brute-force:
    • Để giải mã các tệp, một phương pháp brute-force đã được áp dụng. Điều này liên quan đến việc đoán các dấu thời gian nanosecond có thể xảy ra khi mã hóa, tạo ra các khóa dựa trên những dấu thời gian này, và thử nghiệm chúng trên các văn bản rõ từ các tệp như flat-VMDKs.
  • Tăng tốc GPU:
    • Quá trình giải mã đã được tăng tốc đáng kể bằng cách sử dụng các GPU hiệu suất cao. Hệ thống đạt được khoảng 1.5 tỷ lần thử mã hóa mỗi giây trên GPU RTX 3090, trong khi RTX 4090 cung cấp hiệu suất tốt hơn gấp 2.3 lần.
  • Các yêu cầu của quy trình phục hồi:
    • Quá trình giải mã yêu cầu các đầu vào cụ thể để có hiệu quả:
      • Dấu thời gian tệp gốc trước khi mã hóa
      • Các cặp văn bản rõ/mã hóa từ các tệp đã mã hóa
      • Đủ sức mạnh tính toán GPU
      • Các tệp shell.log cho thấy khi ransomware được thực thi.
  • Công bố phương pháp và mã nguồn:
    • Mã nguồn đầy đủ và các chi tiết kỹ thuật cho công cụ brute-force được sử dụng trong nỗ lực phục hồi này đã được công bố trên GitHub, cung cấp một khung tổng thể cho những ai gặp phải thách thức tương tự.
  • Ý nghĩa và mối đe dọa tương lai:
    • Thành công trong việc giải mã ransomware Akira mà không phải trả tiền chuộc làm nổi bật cuộc chạy đua giữa kẻ tấn công và người phòng thủ. Mỗi lần giải mã thành công làm xói mòn mô hình kinh doanh ransomware, có khả năng ngăn chặn các cuộc tấn công trong tương lai. Tuy nhiên, điều quan trọng là phải lưu ý rằng với mỗi thành công, những mối đe dọa này sẽ phát triển, nhấn mạnh sự cần thiết phải cảnh giác và đổi mới trong lĩnh vực an ninh mạng.

Bằng cách hiểu và khai thác các lỗ hổng trong quá trình mã hóa, các chuyên gia an ninh mạng có thể phát triển các biện pháp đối phó hiệu quả, thường mà không cần phải tiếp xúc với các hacker. Cách tiếp cận này phục vụ như một hy vọng cho các tổ chức bị tấn công bởi ransomware, nhưng nó cũng nhấn mạnh tầm quan trọng của sự cảnh giác và đổi mới liên tục trong an ninh kỹ thuật số.

Github: https://github.com/yohanes/akira-bruteforce

Tags