Siber güvenlik firması Avast, Akira fidye yazılımları için kurbanların dolandırıcılara para ödemeden verilerini kurtarmasına yardımcı olabilecek ücretsiz bir şifreli yayınladı.
Akira ilk olarak Mart 2023'te ortaya çıktı ve dünya çapında geniş bir sektörde örgütleri hedeflediği için kurbanları hızla biriktirerek kendisi için bir isim yaptı.
Haziran 2023'ten başlayarak, Akira operatörleri, VMware ESXI sanal makinelerine saldırmak için şifreleyicilerinin bir Linux varyantını kullanmaya başladı ve grubun şifreleme saldırılarına maruz kalmayı artırdı.
Avast'ın Akira'nın şifreleme şemasını analizi, önceki raporları doğrular ve kötü amaçlı yazılımların CryptGenrandom tarafından oluşturulan simetrik bir anahtar kullandığını açıklar, bu da daha sonra paketlenmiş bir RSA-4096 genel anahtarı tarafından şifrelenir ve şifreli bir dosyanın sonuna eklenir.
Tehdit aktörleri özel RSA şifre çözme anahtarına sahip olan tek kişi olduğundan, ilk önce fidye ödemeden başkalarının dosyaları şifresini çözmesini engellemeliydi.
Akira fidye yazılımlarının Windows ve Linux sürümleri, cihazları şifreleme konusunda çok benzerdir. Ancak, Linux sürümü Windows Cryptoapi yerine Crypto ++ kitaplığını kullanır.
Avast, Akira'nın şifrelemesini nasıl kırdığını açıklamaz, ancak güvenlik firması fidye yazılımlarının kısmi dosya şifreleme yaklaşımından yararlanmış olabilir.
Windows üzerindeki Akira, dosyaları dosya boyutuna bağlı olarak farklı bir şifreleme sistemini takip ederek yalnızca daha hızlı bir işlem için kısmen şifreler.
2.000.000 bayttan küçük dosyalar için Akira, dosya içeriğinin sadece ilk yarısını şifreleyecektir.
2.000.000 bayttan büyük dosyalar için, kötü amaçlı yazılım, dosyanın toplam boyutuna göre belirlenen önceden hesaplanmış bir blok boyutuna göre dört bloğu şifreleyecektir.
Akira'nın Linux sürümü, operatörlere kurbanın dosyalarının yüzde kaçının şifrelenmesi gerektiğini belirlemelerini sağlayan bir "-n" komut satırı argümanı verir.
Ne yazık ki, şimdi bir şifreleme yayınlandığına göre, Akira fidye yazılımı işlemi, şifrelemelerinde kusur bulmak ve düzeltmek için kodlarının üzerinden gözenekli olacak ve gelecekteki kurbanların dosyaları ücretsiz olarak kurtarmasını önleyecek.
Avast, biri 64 bit ve diğeri 32 bit Windows mimarileri için Akira Decryptor yazılımının iki versiyonunu yayınladı.
Güvenlik firması 64 bit sürümü kullanmanızı önerir, çünkü parolayı kırmak çok fazla sistem belleği gerektirir.
Kullanıcıların, aracın doğru şifre çözme anahtarını oluşturmasına izin vermek için aracı biri Akira tarafından şifrelenmiş ve diğeri orijinal düz metin formunda sağlaması gerekir.
Avast, "Bulabileceğiniz kadar büyük bir çift dosya seçmek son derece önemlidir."
"Akira'nın blok boyutu hesaplaması nedeniyle, 1 bayt boyutuna göre farklılık gösteren dosyalar için bile boyut sınırı üzerinde dramatik bir fark olabilir."
Orijinal dosyanın boyutu, Avast'ın aracı tarafından şifre çözülebilen bir dosyanın üst sınırı da olacaktır, bu nedenle mevcut en büyük seçmek tam veri restorasyonu için çok önemlidir.
Son olarak, şifreden şifreli dosyaları şifresini çözmeye çalışmadan önce şifreli dosyaları yedekleme seçeneği sunar, çünkü bir şeyler ters giderse verileriniz geri dönüşü olmayan bir şekilde bozulabilir.
Avast, bir Linux şifrelemesinde çalıştıklarını söylüyor, ancak kurbanlar Linux'ta şifrelenmiş dosyaları şifresini çözmek için şimdilik Windows sürümünü kullanabilirler.
Ransomware'de Hafta - 30 Haziran 2023 - Yanlış Kimlik
Akira Ransomware hedefleri VMware ESXI sunucularının Linux sürümü
Ransomware'de Hafta - 12 Mayıs 2023 - Yeni Çeteler ortaya çıkıyor
Yeni Ransomware DeRryptor, verileri kısmen şifreli dosyalardan kurtarıyor
Akira ile tanışın - İşletmeyi hedefleyen yeni bir fidye yazılımı operasyonu
Kaynak: Bleeping Computer