在 99.9% 的情況下如果你被勒索軟體感染那想要恢復資料是不可能的,除非你向駭客支付贖金獲得解密金鑰,只不過通常情況下駭客索要的贖金都非常高昂。
勒索軟體加密資料的原理主要採集部分資料作為種子然後再採用高強度演算法進行加密,希望透過暴力破解獲得解密金鑰是個希望渺茫的事情,除非在機緣巧合下你發現勒索軟體存在漏洞。
白帽駭客 TinyHack 日前在部落格分享幫助客戶恢復被勒索軟體 Akira 加密的 Linux/VMware ESXi 系統資料,由於嘗試利用漏洞和進行暴力破解,最終 TinyHack 花費大約 20 天才完成解密。
當然這裡也存在機緣巧合的事情,那就是客戶感染的勒索軟體 Akira 變體版本存在缺陷,這個缺陷並不算漏洞,而是 Akira 採用的加密方式不合理,在找到缺陷後 TinyHack 與朋友到資料中心裡找到被感染的硬體進行測試,總體來說思路是可行的。
進行暴力破解的關鍵步驟是計算偏移值和便宜範圍,在實際操作過程中需要列舉的偏移值有 4500 萬億對,如果使用每秒能夠進行加密 5000 萬次的系統,完成這些加密對的暴力破解需要幾百天。
如果使用更多 GPU 那就可以提高算力從而加快破解速度,TinyHack 還對演算法進行最佳化顯著提高了破解速度,接下來就是考慮成本方案,看看哪種方案最終成本更低。
最終的破解速度:
-
在 NVIDIA RTX 3090 上經過最佳化的演算法可以實現每秒 15 億次 KCipher2 加密
-
對於使用單個偏移測試 10 億個值需要 0.7 秒,包括檢查匹配的時間,每批最多可以匹配 32 個
-
在單個 GPU 上測試 200 萬個偏移大約需要 16 天,所以在 16 個 GPU 上只需要 1 天
-
如果換成 RTX 4090 那速度可以提高 2.3 倍,但 RTX 4090 的價格比 RTX 3090 高出 60%
-
使用 RTX 4090 相同過程在單個 GPU 上需要 7 天,使用 16 塊 4090 大約需要 10 小時
當然直接購買 RTX 4090 進行破解那成本太高了,所以客戶剛開始的考慮是透過 Google Cloud 租用一個月的 GPU 進行破解,但這個方案大約需要花費數萬美元。
最終 TinyHack 找到價格更便宜的替代方案,Runpod 和 Vast.ai,包含所有試驗和測試,最終成本是 1200 美元,找到金鑰後還需要獲取檔案的時間戳、獲取檔案的密文和明文等,不過最後這個資料中心客戶大量被加密的 VMDK 磁碟被解密。
有興趣的網友可以點選這裡檢視原文:https://tinyhack.com/2025/03/13/decrypting-encrypted-files-from-akira-ransomware-linux-esxi-variant-2024-using-a-bunch-of-gpus/
