Akira xuất hiện lần đầu tiên vào tháng 3/2023 và đã tấn công mục tiêu vào các tổ chức trên toàn thế giới trong nhiều lĩnh vực, bao gồm giáo dục, tài chính và bất động sản. Phần mềm tống tiền này ban đầu được thiết kế nhắm các mục tiêu Windows được viết bằng C++ và sử dụng thư viện Boost để triển khai mã hóa không đồng bộ. Vào tháng 6/2023, các nhà khai thác Akira bắt đầu triển khai một biến thể Linux của bộ mã hóa của họ để tấn công các máy ảo VMware ESXi, làm tăng khả năng lây nhiễm với các cuộc tấn công mã hóa này.
Mã hóa Akira
Phân tích của Avast về sơ đồ mã hóa của Akira mô tả rằng phần mềm độc hại này sử dụng khóa đối xứng do CryptGenRandom tạo ra, khóa này sau đó được mã hóa bằng khóa công khai RSA-4096 đi kèm và được thêm vào cuối tệp mã hóa. Phần mềm tống tiền thêm phần mở rộng “.akira” vào các tệp được mã hóa và gửi một ghi chú đòi tiền chuộc có tên “akira_readme.txt” trong mỗi thư mục.
Trang web rò rỉ dữ liệu của Akira
Vì các tác nhân đe dọa là những người duy nhất sở hữu khóa giải mã RSA riêng, nên nó phải ngăn chặn bất kỳ ai khác giải mã các tệp mà không phải trả tiền chuộc trước.
Các phiên bản Windows và Linux của mã độc tống tiền Akira rất giống nhau về cách mã hóa thiết bị. Tuy nhiên, các nhà nghiên cứu cho biết phiên bản Linux sử dụng thư viện Crypto++ thay vì Windows CryptoAPI.
Cấu trúc chân trang của tệp được mã hóa bởi Akira
Akira trên Windows chỉ mã hóa một phần tệp để quá trình diễn ra nhanh hơn, tuân theo một hệ thống mã hóa khác tùy thuộc vào kích thước tệp. Đối với các tệp nhỏ hơn 2.000.000 byte, phần mềm tống tiền này sẽ chỉ mã hóa nửa đầu của nội dung tệp. Đối với các tệp lớn hơn 2.000.000 byte, mã độc sẽ mã hóa bốn khối dựa trên kích thước khối được tính toán trước được xác định bởi tổng kích thước của tệp. Phiên bản Akira trên Linux cung cấp cho người vận hành một đối số dòng lệnh "-n" cho phép họ xác định chính xác phần trăm tệp của nạn nhân sẽ được mã hóa.
Các nhà nghiên cứu đã phát hiện ra một vài điểm tương đồng giữa phần mềm tống tiền Akira và Conti v2 như danh sách loại trừ tệp và danh sách loại trừ thư mục, cho thấy các tác nhân độc hại có thể đã sử dụng mã nguồn bị rò rỉ của phần mềm tống tiền Conti.
Bộ giải mã Avast
Avast đã phát hành hai phiên bản phần mềm giải mã Akira trên Windows, một phiên bản 64-bit và một phiên bản với kiến trúc 32-bit. Công ty khuyến nghị sử dụng phiên bản 64-bit vì việc bẻ khóa mật khẩu cần nhiều bộ nhớ hệ thống.
Việc bẻ khóa mật khẩu có thể mất chút thời gian
Lưu ý người dùng cần cung cấp cho công cụ một cặp tệp dữ liệu, bao gồm một tệp được mã hóa bởi Akira và một tệp ở dạng văn bản thuần túy gốc ban đầu, để cho phép công cụ tạo khóa giải mã chính xác.
Avast cảnh báo: “Điều cực kỳ quan trọng là chọn một cặp tệp có dung lượng lớn nhất mà bạn có thể tìm thấy. Do tính toán kích thước khối của Akira, có thể có sự khác biệt đáng kể về giới hạn kích thước ngay cả đối với các tệp khác nhau về kích thước 1 byte”.
Cặp tệp được phân tích trên bộ giải mã
Kích thước của tệp gốc cũng sẽ là giới hạn trên của tệp mà công cụ của Avast có thể giải mã, vì vậy việc chọn tệp lớn nhất hiện có là rất quan trọng để khôi phục dữ liệu hoàn chỉnh. Cuối cùng, bộ giải mã cung cấp tùy chọn sao lưu các tệp được mã hóa trước khi giải mã chúng, điều này được khuyến nghị vì dữ liệu của bạn có thể bị hỏng không thể phục hồi nếu xảy ra sự cố.
Avast cho biết rằng họ đang nghiên cứu để xây dựng bộ giải mã trên Linux. Bên cạnh đó, công ty cũng đã phát hành chỉ số thỏa hiệp (IOC) cho cả biến thể Windows và Linux.