Siber güvenlik firması Avast, kurbanların dolandırıcılara herhangi bir para ödemeden verilerini kurtarmasına yardımcı olabilecek Akira fidye yazılımı için ücretsiz bir şifre çözücü yayınladı.
Akira ilk olarak Mart 2023’te ortaya çıktı ve geniş bir sektör yelpazesinde dünya çapındaki kuruluşları hedef alarak hızlı bir şekilde kurbanlar toplayarak adından söz ettirdi.
Haziran 2023’ten itibaren Akira operatörleri, VMware ESXi sanal makinelerine saldırmak için şifreleyicilerinin bir Linux varyantını dağıtmaya başladı ve grubun şifreleme saldırılarına maruz kalma oranını artırdı.
akira şifreleme
Avast’ın Akira’nın şifreleme şemasına ilişkin analizi, kötü amaçlı yazılımın CryptGenRandom tarafından oluşturulan simetrik bir anahtarı kullandığını ve daha sonra bir paket RSA-4096 genel anahtarı tarafından şifrelenip şifrelenmiş bir dosyanın sonuna eklendiğini açıklayan önceki raporları doğruluyor.
Özel RSA şifre çözme anahtarına yalnızca tehdit aktörleri sahip olduğundan, başka birinin önce fidye ödemeden dosyaların şifresini çözmesini engellemesi gerekirdi.
Akira fidye yazılımının Windows ve Linux sürümleri, cihazları şifreleme biçimlerine çok benzer. Ancak Linux sürümü, Windows CryptoAPI yerine Crypto++ kitaplığını kullanır.
Avast, Akira’nın şifrelemesini nasıl kırdığını açıklamıyor, ancak güvenlik firması fidye yazılımının kısmi dosya şifreleme yaklaşımından yararlanmış olabilir.
Windows’ta Akira, dosya boyutuna bağlı olarak farklı bir şifreleme sistemini izleyerek daha hızlı bir işlem için dosyaları yalnızca kısmen şifreler.
2.000.000 bayttan küçük dosyalar için Akira, dosya içeriğinin yalnızca ilk yarısını şifreler.
2.000.000 bayttan büyük dosyalar için kötü amaçlı yazılım, dosyanın toplam boyutu tarafından belirlenen önceden hesaplanmış bir blok boyutuna göre dört bloğu şifreleyecektir.
Akira’nın Linux sürümü, operatörlere kurbanın dosyalarının yüzde kaçının şifrelenmesi gerektiğini tam olarak belirlemelerine olanak tanıyan bir “-n” komut satırı argümanı verir.
Ne yazık ki, artık bir şifre çözücü piyasaya sürüldüğüne göre, Akira fidye yazılımı operasyonu muhtemelen şifrelemelerindeki kusuru bulmak ve düzeltmek için kodlarını inceleyecek ve gelecekteki kurbanların dosyaları ücretsiz olarak kurtarmasını engelleyecektir.
Avast şifre çözücü
Avast, Akira şifre çözme yazılımının biri 64 bit ve diğeri 32 bit Windows mimarileri için olmak üzere iki sürümünü yayınladı.
Güvenlik firması, parolayı kırmak çok fazla sistem belleği gerektirdiğinden 64 bit sürümünün kullanılmasını önerir.
Kullanıcıların, aracın doğru şifre çözme anahtarını oluşturmasına izin vermek için araca biri Akira tarafından şifrelenmiş ve diğeri orijinal düz metin biçiminde bir çift dosya sağlaması gerekir.
Avast, “Bulabildiğiniz kadar büyük bir çift dosya seçmek son derece önemlidir” diye uyarıyor.
“Akira’nın blok boyutu hesaplaması nedeniyle, 1 bayt boyutunda farklılık gösteren dosyalar için bile boyut sınırında önemli farklılıklar olabilir.”
Orijinal dosyanın boyutu aynı zamanda bir dosyanın Avast’ın aracı tarafından şifresi çözülebilecek üst sınırı olacaktır, bu nedenle eksiksiz veri geri yüklemesi için mevcut olan en büyüğünü seçmek çok önemlidir.
Son olarak, şifre çözücü, şifrelenmiş dosyaların şifresini çözmeye çalışmadan önce yedekleme seçeneği sunar; bu, bir şeyler ters giderse verileriniz geri alınamayacak şekilde bozulabileceği için bu önerilir.
Avast, bir Linux şifre çözücü üzerinde çalıştıklarını söylüyor, ancak kurbanlar şimdilik Linux’ta şifrelenmiş dosyaların şifresini çözmek için Windows sürümünü kullanabilirler.