Key

サイバーセキュリティ企業のアバストは、被害者が犯罪者に金銭を支払わずにデータを回復できるようにする、アキラ ランサムウェアの無料の復号ツールをリリースしました。

Akira は2023 年 3 月に初めて出現し、世界中の幅広い分野の組織を標的として急速に被害者を増やしたことで有名になりました。

2023 年 6 月以降、Akira のオペレーターは VMware ESXi 仮想マシンを攻撃するために自社の暗号化プログラムのLinux 亜種の導入を開始し、グループの暗号化攻撃への危険性が増大しました。

アキラ暗号化

アバストによる Akira の暗号化スキームの分析は、マルウェアが CryptGenRandom によって生成された対称キーを使用し、バンドルされている RSA-4096 公開キーによって暗号化され、暗号化されたファイルの末尾に追加されるという以前のレポートを裏付けています。

秘密の RSA 復号化キーを所有しているのは攻撃者だけであるため、最初に身代金を支払わずに他の人がファイルを復号化することはできなかったはずです。

Akira ランサムウェアの Windows バージョンと Linux バージョンは、デバイスを暗号化する方法が非常に似ています。ただし、Linux バージョンでは、Windows CryptoAPI の代わりに Crypto++ ライブラリが使用されます。

Akira が暗号化したファイルのフッターの構造
Akira (Avast)で暗号化されたファイルのフッターの構造

アバストはアキラの暗号化をどのように解読したかについては説明していないが、セキュリティ会社はランサムウェアの部分的なファイル暗号化アプローチを悪用した可能性がある。

Windows 上の Akira は、ファイル サイズに応じて異なる暗号化システムに従い、プロセスを高速化するためにファイルを部分的にのみ暗号化します。

2,000,000 バイト未満のファイルの場合、Akira はファイル内容の前半のみを暗号化します。

2,000,000 バイトを超えるファイルの場合、マルウェアはファイルの合計サイズによって決定される事前計算されたブロック サイズに基づいて 4 つのブロックを暗号化します。

Linux バージョンの Akira では、オペレータに「-n」コマンド ライン引数を与え、これにより被害者のファイルの何パーセントを暗号化する必要があるかを正確に決定できます。

残念なことに、復号化ツールがリリースされたため、Akira ランサムウェアの作戦はコードを徹底的に調べて暗号化の欠陥を見つけて修正し、将来の被害者が無料でファイルを回復することを防ぐ可能性があります。

アバスト復号化ツール

アバストは、Akira 復号化ソフトウェアの 2 つのバージョンをリリースしました。1 つは 64 ビット Windows アーキテクチャ用もう 1 つは 32 ビット Windows アーキテクチャ用です

パスワードの解析には大量のシステム メモリが必要となるため、セキュリティ会社は 64 ビット バージョンの使用を推奨しています。

パスワードの解読には時間がかかる場合があります
パスワードの解読には時間がかかる場合があります(アバスト)

ユーザーは、ツールが正しい復号キーを生成できるように、Akira によって暗号化されたファイルと元のプレーンテキスト形式のファイルのペアをツールに提供する必要があります。

「見つけられる限り大きなファイルのペアを選択することが非常に重要です」とアバストは警告しています

「Akira のブロック サイズ計算により、ファイルのサイズが 1 バイト異なる場合でも、サイズ制限に大きな違いが生じる可能性があります。」

復号化ツールで分析されたファイル ペア
復号化ツール(Avast)で分析されたファイル ペア

元のファイルのサイズは、アバストのツールで復号化できるファイルの上限にもなるため、データを完全に復元するには、利用可能な最大のものを選択することが重要です。

最後に、復号化ツールは、暗号化されたファイルを復号化する前にバックアップするオプションを提供します。何か問題が発生した場合にデータが回復不能に破損する可能性があるため、これをお勧めします。

アバストは、Linux 復号化ツールの開発に取り組んでいると述べていますが、被害者は今のところ Windows バージョンを使用して、Linux で暗号化されたファイルを復号化できます。