在99.9%的情况下如果你被勒索软件感染那想要恢复数据是不可能的,除非你向黑客支付赎金获得解密密钥,只不过通常情况下黑客索要的赎金都非常高昂。勒索软件加密数据的原理主要采集部分数据作为种子然后再采用高强度算法进行加密,希望通过暴力破解获得解密密钥是个希望渺茫的事情,除非在机缘巧合下你发现勒索软件存在漏洞。
白帽黑客TinyHack日前在博客分享帮助客户恢复被勒索软件Akira加密的Linux/VMwareESXi系统数据,由于尝试利用漏洞和进行暴力破解,最终TinyHack花费大约20天才完成解密。
当然这里也存在机缘巧合的事情,那就是客户感染的勒索软件Akira变体版本存在缺陷,这个缺陷并不算漏洞,而是Akira采用的加密方式不合理,在找到缺陷后TinyHack与朋友到数据中心里找到被感染的硬件进行测试,总体来说思路是可行的。
进行暴力破解的关键步骤是计算偏移值和便宜范围,在实际操作过程中需要枚举的偏移值有4500万亿对,如果使用每秒能够进行加密5000万次的系统,完成这些加密对的暴力破解需要几百天。
如果使用更多GPU那就可以提高算力从而加快破解速度,TinyHack还对算法进行优化显著提高了破解速度,接下来就是考虑成本方案,看看哪种方案最终成本更低。
最终的破解速度:
在NVIDIARTX3090上经过优化的算法可以实现每秒15亿次KCipher2加密
对于使用单个偏移测试10亿个值需要0.7秒,包括检查匹配的时间,每批最多可以匹配32个
在单个GPU上测试200万个偏移大约需要16天,所以在16个GPU上只需要1天
如果换成RTX4090那速度可以提高2.3倍,但RTX4090的价格比RTX3090高出60%
使用RTX4090相同过程在单个GPU上需要7天,使用16块4090大约需要10小时
当然直接购买RTX4090进行破解那成本太高了,所以客户刚开始的考虑是通过GoogleCloud租用一个月的GPU进行破解,但这个方案大约需要花费数万美元。
最终TinyHack找到价格更便宜的替代方案,Runpod和Vast.ai,包含所有试验和测试,最终成本是1200美元,找到密钥后还需要获取文件的时间戳、获取文件的密文和明文等,不过最后这个数据中心客户大量被加密的VMDK磁盘被解密。
有兴趣的网友可以点击这里查看原文:https://tinyhack.com/2025/03/13/decrypting-encrypted-files-from-akira-ransomware-linux-esxi-variant-2024-using-a-bunch-of-gpus/
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】