La société de cybersécurité Avast a publié un décrypteur gratuit pour le rançongiciel Akira qui peut aider les victimes à récupérer leurs données sans payer d’argent aux escrocs.

Akira est apparu pour la première fois en mars 2023 et s’est fait un nom en amassant rapidement des victimes alors qu’il ciblait des organisations du monde entier dans un large éventail de secteurs.

À partir de juin 2023, les opérateurs d’Akira ont commencé à déployer une variante Linux de leur chiffreur pour attaquer les machines virtuelles VMware ESXi, augmentant l’exposition aux attaques de chiffrement du groupe.

Cryptage Akira
L’analyse par Avast du schéma de chiffrement d’Akira confirme les rapports précédents, décrivant que le logiciel malveillant utilise une clé symétrique générée par CryptGenRandom, qui est ensuite chiffrée par une clé publique RSA-4096 groupée et ajoutée à la fin d’un fichier chiffré.

Comme les acteurs de la menace sont les seuls à posséder la clé de déchiffrement RSA privée, cela aurait dû empêcher quiconque de déchiffrer les fichiers sans payer au préalable une rançon.

Les versions Windows et Linux du rançongiciel Akira sont très similaires dans la manière dont elles chiffrent les appareils. Cependant, la version Linux utilise la bibliothèque Crypto++ au lieu de Windows CryptoAPI.

Structure du pied de page d’un fichier chiffré par Akira

Avast n’explique pas comment il a piraté le cryptage d’Akira, mais la société de sécurité a peut-être exploité l’approche de cryptage partiel des fichiers du ransomware.

Akira sur Windows ne chiffre que partiellement les fichiers pour un processus plus rapide, en suivant un système de chiffrement différent en fonction de la taille du fichier.

Pour les fichiers inférieurs à 2 000 000 octets, Akira ne chiffrera que la première moitié du contenu du fichier.

Pour les fichiers de plus de 2 000 000 octets, le logiciel malveillant cryptera quatre blocs en fonction d’une taille de bloc précalculée déterminée par la taille totale du fichier.

La version Linux d’Akira donne aux opérateurs un argument de ligne de commande « -n » qui leur permet de déterminer précisément quel pourcentage des fichiers de la victime doit être chiffré.

Malheureusement, maintenant qu’un décrypteur a été publié, l’opération de rançongiciel Akira va probablement se pencher sur leur code pour trouver la faille dans leur cryptage et la corriger, empêchant les futures victimes de récupérer des fichiers gratuitement.

Le décrypteur Avast
Avast a publié deux versions de son logiciel de décryptage Akira, une pour les architectures Windows 64 bits et une pour les architectures Windows 32 bits.

L’entreprise de sécurité recommande d’utiliser la version 64 bits car le craquage du mot de passe nécessite beaucoup de mémoire système.

Craquer le mot de passe peut prendre un certain temps

Les utilisateurs doivent fournir à l’outil une paire de fichiers, l’un chiffré par Akira et l’autre sous sa forme originale en texte brut, pour permettre à l’outil de générer la clé de déchiffrement correcte.

« Il est extrêmement important de choisir une paire de fichiers aussi volumineux que possible », prévient Avast.

« En raison du calcul de la taille des blocs d’Akira, il peut y avoir une différence considérable sur la limite de taille, même pour les fichiers qui diffèrent d’une taille de 1 octet. »

Paire de fichiers analysés sur le décrypteur

La taille du fichier d’origine sera également la limite supérieure d’un fichier qui peut être déchiffré par l’outil d’Avast, donc choisir le plus grand disponible est crucial pour une restauration complète des données.

Enfin, le décrypteur offre la possibilité de sauvegarder les fichiers cryptés avant d’essayer de les décrypter, ce qui est recommandé, car vos données peuvent être irréversiblement corrompues en cas de problème.

Avast dit qu’ils travaillent sur un décrypteur Linux, mais les victimes peuvent utiliser la version Windows pour l’instant pour décrypter tous les fichiers qui ont été cryptés sous Linux.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *