Компания Avast выпустила
для файлов, пострадавших во время атак вымогателя Akira.
Этот шифровальщик активен с марта 2023 года и успел атаковать не так много жертв, но теперь все они смогут восстановить данные, не выплачивая выкуп злоумышленникам.
СМИ , что инструмент для расшифровки файлов тайно использовался службами реагирования на инциденты на протяжении нескольких месяцев, прежде чем Avast разработала и выпустила собственную версию, доступную для всех.
Как уже было сказано выше, Akira появился весной 2023 года и довольно быстро привлек к себе внимание, так как был нацелен на самые разные организации по всему миру. К примеру, в список его жертв входят университет Блюфилд, государственный банк в Южной Африке и крупный форекс-брокер London Capital Group.
Проведенный Avast анализ схемы шифрования Akira подтвердил предыдущие выводы экспертов о том, что малварь использует симметричный ключ, сгенерированный CryptGenRandom, который затем шифруется с помощью связанного открытого ключа RSA-4096 и добавляется в конец зашифрованного файла. Поскольку хакеры — единственные, кто владеет приватным ключом RSA, это должно было помешать прочим сторонам расшифровать файлы без выплаты выкупа.
Версии Akira для Windows и Linux очень похожи в том, как они шифруют устройства. Однако версия для Linux использует библиотеку Crypto++ вместо Windows CryptoAPI.
Хотя специалисты Avast не объясняют, как именно им удалось взломать шифрование Akira, , что они могли эксплуатировать частичное шифрование файлов, которое применяет вымогатель.
Так, в Windows для ускорения процесса вредонос шифрует файлы только частично и применяет разные системы шифрования, зависящие от размера файла. Например, для файлов размером менее 2 000 000 байт Akira шифрует только первую половину содержимого файла. Для файлов размером более 2 000 000 байт малварь будет шифровать четыре блока, основываясь на предварительно рассчитанном размере блока, определяемым общим размером файла.
Avast выпустила две версии инструмента для расшифровки: одну для и одну для архитектуры Windows. Специалисты рекомендуют использовать 64-разрядную версию, поскольку для взлома пароля требуется много памяти.
Чтобы инструмент сумел сгенерировать корректный ключ дешифрования, пользователю нужно предоставить ему пару файлов, один из которых зашифрован Akira, а другой является оригиналом в текстовой форме.
Дело в том, что размер исходного файла станет верхним пределом для файлов, которые сможет расшифровать инструмент Avast. Поэтому выбор самого большого доступного файла имеет решающее значение для полного восстановления данных.
Этот шифровальщик активен с марта 2023 года и успел атаковать не так много жертв, но теперь все они смогут восстановить данные, не выплачивая выкуп злоумышленникам.
СМИ , что инструмент для расшифровки файлов тайно использовался службами реагирования на инциденты на протяжении нескольких месяцев, прежде чем Avast разработала и выпустила собственную версию, доступную для всех.
Как уже было сказано выше, Akira появился весной 2023 года и довольно быстро привлек к себе внимание, так как был нацелен на самые разные организации по всему миру. К примеру, в список его жертв входят университет Блюфилд, государственный банк в Южной Африке и крупный форекс-брокер London Capital Group.
Проведенный Avast анализ схемы шифрования Akira подтвердил предыдущие выводы экспертов о том, что малварь использует симметричный ключ, сгенерированный CryptGenRandom, который затем шифруется с помощью связанного открытого ключа RSA-4096 и добавляется в конец зашифрованного файла. Поскольку хакеры — единственные, кто владеет приватным ключом RSA, это должно было помешать прочим сторонам расшифровать файлы без выплаты выкупа.
Версии Akira для Windows и Linux очень похожи в том, как они шифруют устройства. Однако версия для Linux использует библиотеку Crypto++ вместо Windows CryptoAPI.
Хотя специалисты Avast не объясняют, как именно им удалось взломать шифрование Akira, , что они могли эксплуатировать частичное шифрование файлов, которое применяет вымогатель.
Так, в Windows для ускорения процесса вредонос шифрует файлы только частично и применяет разные системы шифрования, зависящие от размера файла. Например, для файлов размером менее 2 000 000 байт Akira шифрует только первую половину содержимого файла. Для файлов размером более 2 000 000 байт малварь будет шифровать четыре блока, основываясь на предварительно рассчитанном размере блока, определяемым общим размером файла.
Avast выпустила две версии инструмента для расшифровки: одну для и одну для архитектуры Windows. Специалисты рекомендуют использовать 64-разрядную версию, поскольку для взлома пароля требуется много памяти.
Чтобы инструмент сумел сгенерировать корректный ключ дешифрования, пользователю нужно предоставить ему пару файлов, один из которых зашифрован Akira, а другой является оригиналом в текстовой форме.
Дело в том, что размер исходного файла станет верхним пределом для файлов, которые сможет расшифровать инструмент Avast. Поэтому выбор самого большого доступного файла имеет решающее значение для полного восстановления данных.
