TISI Gɛɛk Zønɛ Sécurité v
Nouveau ransomware Akira

Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Modes de sujets
Nouveau ransomware Akira
Omnous_Luminae Hors ligne
Junior
**
Messages : 39
Sujets : 28
Mercis reçus: 25 dans 24 posts
Mercis donnés: 2
Inscription : Sep 2024
#1
Bug  17-03-2025, 10:48 (Modification du message : 17-03-2025, 10:52 par Omnous_Luminae.)
[Image: 1643953.jpg]
(non ce n'es pas cela)


[Image: Akira.png]
Le chercheur en sécurité Yohanes Nugroho a publié un décrypteur pour la variante Linux du ransomware Akira, qui utilise la puissance des GPU pour récupérer la clé de déchiffrement et débloquer les fichiers gratuitement.
Nugroho a développé ce décrypteur après qu’un ami lui ait demandé de l’aide, estimant que le système chiffré pouvait être résolu en une semaine, en raison de la manière dont Akira génère ses clés de chiffrement à partir de timestamps.
Cependant, le projet a finalement pris trois semaines en raison de complexités imprévues, et le chercheur a dépensé 1 200 $ en ressources GPU pour casser la clé de chiffrement. Mais il a fini par réussir.
Utilisation des GPU pour le bruteforce des clésLe décrypteur de Nugroho ne fonctionne pas comme un outil de déchiffrement classique où l’utilisateur fournirait une clé pour débloquer ses fichiers.
Au lieu de cela, il effectue une attaque par force brute sur les clés de chiffrement (uniques pour chaque fichier) en exploitant le fait que l’outil de chiffrement d’Akira génère ses clés en fonction du temps actuel (en nanosecondes) comme graine.
Une graine de chiffrement est une donnée utilisée avec des fonctions cryptographiques pour générer des clés de chiffrement fortes et imprévisibles. Puisque la graine influence la génération des clés, la garder secrète est crucial pour éviter que des attaquants ne puissent recréer les clés de chiffrement ou de déchiffrement via des attaques par force brute ou d’autres attaques cryptographiques.
Akira ransomware génère dynamiquement des clés de chiffrement uniques pour chaque fichier en utilisant quatre timestamps différents avec une précision en nanosecondes et en les hachant à travers 1 500 itérations de SHA-256.
Quatre timestamps utilisés pour générer les clésCes clés sont ensuite chiffrées avec RSA-4096 et ajoutées à la fin de chaque fichier chiffré, ce qui rend leur déchiffrement difficile sans la clé privée.
Le niveau de précision des timestamps crée plus d’un milliard de valeurs possibles par seconde, ce qui rend difficile le cassage des clés par force brute.
De plus, Nugroho explique que le ransomware Akira sous Linux chiffre plusieurs fichiers simultanément grâce au multithreading, ce qui complique la détermination du timestamp utilisé et ajoute encore plus de difficulté.
Utilisation des logs pour réduire l’espace de rechercheLe chercheur a réduit l’ensemble des timestamps possibles en analysant les fichiers journaux (logs) partagés par son ami. Ces logs lui ont permis de voir quand le ransomware a été exécuté, d’analyser les métadonnées des fichiers pour estimer le temps de chiffrement, et de produire des benchmarks de chiffrement sur différents matériels pour établir des profils prévisibles.
Les premières tentatives avec un RTX 3060 étaient bien trop lentes, atteignant seulement 60 millions de tests de chiffrement par seconde. L’upgrade vers un RTX 3090 n’a pas amélioré significativement les performances.
Finalement, le chercheur s’est tourné vers les services cloud GPU de RunPod & Vast.ai, qui offraient la puissance nécessaire à un coût raisonnable pour valider l’efficacité de son outil.
En particulier, il a utilisé seize RTX 4090 pour casser la clé de déchiffrement en environ 10 heures. Toutefois, en fonction du nombre de fichiers chiffrés à récupérer, le processus peut prendre quelques jours.
Le chercheur a noté dans son rapport que des experts en GPU pourraient encore optimiser son code, ce qui pourrait améliorer les performances.
Le décrypteur disponible sur GitHub. Nugroho a mis son décrypteur à disposition sur GitHub, accompagné d’instructions pour récupérer les fichiers chiffrés par Akira.
Précaution importante : Avant d’essayer de déchiffrer des fichiers, il est recommandé de faire une sauvegarde des fichiers chiffrés. En effet, il existe un risque que les fichiers soient corrompus si une mauvaise clé de déchiffrement est utilisée.

Sources :

https://fr.blog.barracuda.com/2025/02/11...retro-vibe
https://www.bleepingcomputer.com/news/se...on-github/
https://www.threatdown.com/fr/glossaire/...ansomware/
https://www.truesec.com/hub/blog/akira-r...are-victim
Trouver
Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  DigitStealer nouveau malware pour MacOS Theo 0 130 27-11-2025, 07:21
Dernier message: Theo
Bug Le nouveau StilachiRAT utilise des techniques sophistiquées pour éviter la détection Omnous_Luminae 0 200 18-03-2025, 12:51
Dernier message: Omnous_Luminae
Bug Le gang de ransomware Medusa exige $2M d'un prestataire privé de santé UK Omnous_Luminae 0 182 20-02-2025, 08:17
Dernier message: Omnous_Luminae
Bug Ransomware vise les systèmes ESXi via des tunnels SSH Omnous_Luminae 1 259 11-02-2025, 09:09
Dernier message: EnZ0
Bug Atos répond aux revendications de vol de données d'un groupe de ransomware Omnous_Luminae 1 299 06-01-2025, 13:46
Dernier message: EnZ0
  Un nouveau virus espion Skr 1 266 06-01-2025, 13:37
Dernier message: EnZ0
Exclamation Pumakit, un nouveau Rootkit pas comme les autres Juanito 1 273 18-12-2024, 07:31
Dernier message: EnZ0
Bug Le créateur de la ransomware phobos va enfin être jugé Omnous_Luminae 1 292 25-11-2024, 15:27
Dernier message: EnZ0
  Un nouveau moyen de contrer ShrinkLocker Juanito 1 281 15-11-2024, 15:58
Dernier message: EnZ0
  Casio Victime d'une Attaque par Ransomware apollon 1 284 18-10-2024, 06:56
Dernier message: EnZ0

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)