成功破解加密机制,研究人员解锁LinuxESXi Akira勒索软件
一位网络安全研究人员成功破解了Akira勒索软件在Linux/ESXi系统中的加密机制,使得受害者无需支付赎金即可恢复数据。
这一突破利用了勒索软件加密方法中的关键漏洞。据研究人员介绍,该恶意软件使用纳秒级的时间戳作为加密过程中的种子,这使其在理论上容易受到暴力破解攻击。
发现加密过程中的漏洞
研究人员Yohanes Nugroho表示:“从我的初步分析中,我发现勒索软件使用纳秒级的时间戳作为种子。”他最初认为可以通过查看文件的时间戳轻松进行暴力破解,但实际情况却复杂得多。
该Akira变种采用了复杂的加密方案,使用了四个不同的纳秒级时间戳。这种复杂性最初使得解密看似不可行,但通过坚持不懈的努力和强大的计算能力,研究人员最终成功实现了解密。
研究人员已在GitHub上发布了完整的源代码和方法,为自2023年底以来受该特定勒索软件影响的组织提供了潜在的解决方案。
逆向工程揭示加密机制
研究人员对勒索软件的代码进行了逆向工程,发现其使用了Yarrow256随机数生成器,并通过时间戳值作为种子。核心漏洞存在于generate_random()函数中:
勒索软件利用此函数为KCipher2和Chacha8加密算法生成密钥。每个文件被分成多个块,其中一部分根据攻击者定义的参数进行加密:
GPU加速的暴力破解解决方案
为了破解加密,研究人员开发了一个基于CUDA优化的暴力破解工具,利用高性能GPU的运算能力。经过大量优化,该系统在RTX 3090 GPU上实现了每秒约15亿次加密尝试,而RTX 4090的性能则更加强大,速度提高了2.3倍。
研究人员指出:“在单个GPU上测试200万个偏移量大约需要16天,但如果使用16个GPU,仅需1天。使用4090,同样的过程在单个GPU上可以在大约7天内完成,或者使用16个GPU仅需10个多小时。”
解密过程的要求
解密过程需要特定的输入才能有效进行:
- 加密前的原始文件时间戳
- 从加密文件中获取的已知明文和密文对
- 足够的GPU计算能力
- 显示勒索软件执行时间的Shell.log文件
完整的源代码和技术细节已在GitHub上发布,供可能受该Akira变种影响的组织使用。
随着勒索软件的不断进化,这项工作凸显了攻击者与防御者之间持续的军备竞赛。每一次成功的不支付赎金的解密都会削弱勒索软件的商业模式,可能会阻止未来的攻击。
该方法和源代码的公开发布确保受影响的组织有替代支付赎金的方案。然而,他们需尽快采取行动,因为勒索软件运营商很可能会在加密实现中修补这一漏洞。