O especialista em segurança Yohanes Nugroho desenvolveu um descriptografador gratuito para o ransomware Linux Akira. Diferente de ferramentas convencionais, a solução explora a criptografia baseada em timestamps, permitindo a recuperação de arquivos sem pagamento de resgate. O projeto levou três semanas para ser concluído e custou cerca de R$ 6.816,00 em serviços de GPU na nuvem.
Pesquisador lança ferramenta gratuita para descriptografar ransomware Linux Akira
Como funciona o descriptografador?
O ransomware Akira gera chaves de criptografia exclusivas para cada arquivo usando quatro timestamps com precisão de nanossegundos. Esses valores são processados por 1.500 rodadas do algoritmo SHA-256, tornando a recuperação extremamente difícil. A ferramenta de Nugroho utiliza força bruta para estimar os timestamps e recuperar as chaves de descriptografia.
“Cada arquivo possui uma chave única, e o malware usa quatro momentos distintos no tempo para gerá-la. Além disso, a criptografia envolve múltiplas rodadas de SHA-256, tornando o processo mais complexo”, explicou o pesquisador em seu relatório.
Uso de GPUs para acelerar o processo
A recuperação das chaves por meio de CPUs seria inviável devido à enorme quantidade de combinações possíveis. Para contornar essa limitação, o pesquisador utilizou serviços de GPU em nuvem, implementando um cluster com dezesseis placas RTX 4090. Essa abordagem reduziu o tempo de descriptografia para aproximadamente 10 horas, dependendo do volume de arquivos afetados.
Notícias Relacionadas
Ataque cibernético
Grupo chinês ataca governo russo com nova versão do malware MysterySnail
Hackers chineses do grupo IronHusky lançam ataques contra alvos russos e mongóis com uma nova variante do malware MysterySnail RAT, destacando o avanço das táticas cibernéticas.
Ameaça persistente
Cadeia de infecção em múltiplos estágios dribla defesas com Agent Tesla e XLoader
Campanha de malware em estágios sequenciais usa e-mails falsos e scripts ofuscados para implantar RATs como Agent Tesla, Remcos e XLoader, escapando da detecção tradicional.
Inicialmente, Nugroho considerou o uso do Google Cloud, mas os custos eram elevados. Alternativamente, plataformas como RunPod e Vast.ai foram escolhidas, reduzindo significativamente as despesas operacionais. O custo estimado para forçar um intervalo de 4,5 milhões de nanossegundos ficou em torno de R$ 1.483,08, totalizando aproximadamente R$ 6.816,00 para todo o processo.
Impacto e implicações na segurança cibernética
O ransomware Akira usa KCipher2 e Chacha8 para criptografar arquivos, dificultando sua recuperação. No entanto, a abordagem inovadora de Nugroho demonstra que, com os recursos certos, é possível encontrar vulnerabilidades nesses métodos de criptografia. Essa solução representa uma nova esperança para empresas afetadas por ataques, permitindo recuperar dados sem precisar pagar resgates aos criminosos.
Especialistas recomendam que usuários e empresas reforcem suas medidas de segurança para evitar infecções por ransomware, como manter backups atualizados, utilizar soluções de segurança robustas e evitar clicar em links suspeitos.
Com essa ferramenta, vítimas do ransomware Akira agora têm uma alternativa para recuperar seus arquivos sem depender dos criminosos. O projeto de Yohanes Nugroho reforça a importância da pesquisa em cibersegurança para combater ameaças digitais cada vez mais sofisticadas.
