Компания Avast, специализирующаяся на кибербезопасности, выпустила бесплатный дешифратор для программы Akira ransomware, который может позволить жертвам восстановить свои данные без уплаты выкупа.
Программа-вымогатель Akira активна с марта 2023 года. Создатели этой вредоносной программы утверждают, что уже взломали несколько организаций в различных отраслях, включая образование, финансы и недвижимость.
Akira – это программа-вымогатель с 64-битным бинарным кодом для Windows, написанная на C++ и использующая библиотеку Boost для реализации асинхронного кода шифрования. Авторы использовали Microsoft Linker версии 14.35.
В июне 2023 года аналитик вредоносных программ rivitna опубликовал образец ransomware, скомпилированный для Linux. Эта версия Linux является 64-битной и также использует библиотеку Boost, она использует библиотеку Crypto++ вместо Windows CryptoAPI.
“Во время запуска Akira генерирует симметричный ключ шифрования с помощью CryptGenRandom(), который является генератором случайных чисел, реализованным в Windows CryptoAPI. Файлы шифруются с помощью Chacha 2008 (реализация Д. Дж. Бернштейна)”, – говорится в отчёте, опубликованном Avast.
“Симметричный ключ шифруется RSA-4096 и добавляется в конец зашифрованного файла. Открытый ключ закодирован в двоичном файле ransomware и отличается для каждого образца”.
Программа-вымогатель добавляет расширение .akira к зашифрованным файлам и помещает в каждую папку “записку” с выкупом под названием akira_readme.txt.
Исследователи обнаружили несколько сходств между программами Akira ransomware и Conti v2 ransomware. Это позволяет предположить, что авторы могли использовать исходный код программы Conti ransomware.
Avast выпустила как 64-битный дешифратор, так и 32-битный дешифратор для Windows.
Необходимо предоставить пару файлов, один зашифрованный Akira ransomware, другой оригинальный файл. Введите оба названия файла. Вы также можете перетащить файлы из проводника Windows. “Крайне важно выбрать пару файлов максимально большого размера. Из-за того, что Akira рассчитывает размер блока, может возникнуть резкая разница в предельном размере даже для файлов, отличающихся размером в 1 байт”. – обращает внимание Avast.
Avast работает над созданием дешифратора для варианта Linux.
Материалы: Securityaffairs.com (Pierluigi Paganini)