Akira 勒索軟體加密金鑰破解！研究人員運用 GPU 開發解密工具

資安研究人員 Yohanes Nugroho 近日於GitHub 發布一款針對 Linux 版 Akira 勒索軟體的解密工具，該工具能夠利用 GPU 運算能力來擷取解密金鑰，讓受害者無需付贖金即可恢復被加密的檔案。

這項解密工具的開發始於 Yohanes Nugroho 收到友人求助。在分析 Akira 勒索軟體的加密機制後，由於該軟體使用時間戳記來生成加密金鑰，Nugroho 最初預估一週內可完成解密系統。不過，開發過程複雜度遠超預期，專案最終花了三週時間，他還投入了 1,200 美元在 GPU 資源上以破解加密金鑰，但努力最終獲得了成功。

利用 GPU 暴力破解加密金鑰

與傳統解密工具不同，Yohanes Nugroho 開發的解密工具並非透過提供金鑰來解鎖檔案，而是通過暴力破解每個檔案獨特的加密金鑰。這個方法之所以有效，是因為 Akira 加密器使用當前時間（精確到奈秒）作為種子來生成加密金鑰。

加密種子是用於密碼學函數的資料，用來生成強大且不可預測的加密金鑰。由於種子會影響金鑰生成，保持其機密性對於防止攻擊者通過暴力破解或其他密碼學攻擊重新創建加密或解密金鑰至關重要。

Akira 勒索軟體為每個檔案動態生成獨特的加密金鑰，使用四個具有奈秒精度的不同時間戳記種子，並通過 1,500 輪 SHA-256 雜湊演算法處理。這些金鑰用 RSA-4096 加密，並附加在每個加密檔案的末尾，因此若沒有私鑰，解密這些檔案非常困難。

時間戳記的高精確度每秒創造超過十億個可能的值，使暴力破解金鑰變得困難。此外，Nugroho 表示，Linux 版 Akira 勒索軟體使用多執行緒同時加密多個檔案，這使得確定使用的時間戳記變得更加複雜。

Yohanes Nugroho 透過友人分享的日誌檔案縮小了需要暴力破解的可能時間戳記範圍。這使他能夠看到勒索軟體執行的時間，使用檔案元數據估計加密完成時間，並在不同硬體上產生加密基準來創建可預測的配置文件。

GPU 算力的突破性應用

Yohanes Nugroho 初期使用 RTX 3060 進行測試，但每秒只能執行約 6,000 萬次加密運算，效率不彰；即便升級到 RTC 3090，改善幅度仍然有限。轉向 RunPod 和 Vast.ai 雲端 GPU 服務後，他終於以合理成本獲得足夠算力來驗證工具效能。他最終動用了十六個 RTX 4090 GPU，僅花約 10 小時就成功暴力破解解密金鑰。然而，實際恢復時間仍取決於加密檔案數量，可能需要數天完成。

Yohanes Nugroho 在發表的研究中也表示，GPU 專家若能進一步優化程式碼，效能還有提升空間。

Yohanes Nugroho 已經在 GitHub 上分享了這款解密工具，並提供了如何恢復被 Akira 加密檔案的指導說明。

如同所有的解密嘗試，在嘗試解密檔案時，建議先備份原始加密檔案，因為如果使用錯誤的解密金鑰，檔案可能會損壞。不過此工具安全性或有效性尚未確認，提醒使用者應謹慎使用。

本文轉載自bleepingcomputer。