MADRI 20 mar. (Portaltic/EP) -
Sem uma chave, é praticamente impossível quebrar a criptografia de ransomware em computadores infectados, mas um programador conseguiu derrubar o Akira em cerca de dez horas usando o tempo de GPU na nuvem.
O Akira é um ramsonware, um tipo de malware que criptografa o computador infectado e exige pagamento em troca de sua liberação. Ele está ativo desde pelo menos 2023, período durante o qual surgiram diversas variantes, e geralmente está disponível como ramsonware como serviço.
Recentemente, um programador conseguiu recuperar dados criptografados sem pagar um resgate, usando GPUs na nuvem, como ele explica em seu blog pessoal, conforme relatado pelo TechSpot.
Yohanes Nugroho, como é chamado o programador, criou uma ferramenta para descriptografar o Akira. Ele não é o primeiro a fazer isso, pois explica que a Avast criou um descriptografador há dois anos, o que forçou os desenvolvedores do Akira a atualizar sua criptografia.
Ao analisar os arquivos do Akira, Nugroho descobriu que o ransomware usava a hora atual (em nanossegundos) como uma semente para gerar chaves de criptografia e desenvolveu um ataque de força bruta usando o poder da GPU.
O que inicialmente parecia ser uma tarefa fácil se complicou pelo fato de que o Akira "não se baseia em um único instante, mas em quatro, cada um com uma resolução de nanossegundos" e que "a geração de chaves é complexa e envolve 1.500 rodadas de SHA-256 para cada registro de data e hora", com cada arquivo contendo uma chave exclusiva.
Em sua tentativa, Nugroho executou um ataque de força bruta em uma GPU GeForce RTX 3060, o que não foi suficiente e o forçou a comparar uma RTX 3090. "O desempenho foi decepcionante, atingindo apenas cerca de 60 milhões de cifras por segundo", uma taxa na qual, diz ele, "todo o processo levaria cerca de 10 anos".
Com uma otimização, ele conseguiu cerca de 1,5 bilhão de cifras por segundo para o KCipher2 na RTX 3090, mas ainda não era suficiente. Então, ele decidiu dar o salto para o RTX 4090, em serviços de aluguel de tempo de GPU na nuvem.
Nugroho alugou 16 GPUs RTX 4090, o que lhe permitiu lançar seu ataque de força bruta e descriptografar o Akira em cerca de dez horas.
"Provavelmente 99,9% das vezes, quando você é atingido por um ransomware, não conseguirá recuperá-lo sem a chave. Mas, com sorte, às vezes é possível encontrar uma solução", diz o programador, que decidiu compartilhar sua pesquisa e publicá-la como código aberto.
Esta notícia foi traduzida por um tradutor automático