摘要：Akira 是一种危险的多平台勒索软件威胁，自 2023 年以来一直很活跃。 该恶意软件以"勒索软件即服务"（ransomware-as-a-service）产品的形式提供给网络犯罪分子，已成为 250 多个组织的目标，为其未知开发者赚取了高达 4200 万美

Akira 是一种危险的多平台勒索软件威胁，自 2023 年以来一直很活跃。 该恶意软件以"勒索软件即服务"（ransomware-as-a-service）产品的形式提供给网络犯罪分子，已成为 250 多个组织的目标，为其未知开发者赚取了高达 4200 万美元的收入。

Yohanes Nugroho 是一名印度尼西亚程序员，业余时间从事个人编码项目，他为Akira勒索软件开发了一款"解密器"。 该工具采用了一种新颖的方法来解决复杂的数学问题，利用现代 GPU 的高度并行性，在很短的时间内测试了数百万个密钥组合。

Nugroho 在其个人网站上记录了他学习Akira文件加密代码的历程。 在一位朋友的帮助下，他开始接触 Akira 的 Linux 变种。 在分析代码后，Nugroho 发现该勒索软件使用当前时间作为种子，生成密码学上强大的加密密钥。

加密过程使用四个不同的时间戳种子，以"纳秒级精度"为每个文件动态生成唯一密钥。 然后，这些密钥经过 1500 轮 SHA-256 函数散列。 最后，使用 RSA-4096 算法对密钥进行加密，并附加到每个加密文件的末尾。

由于"Akira"的加密极其精确，解密工作变得复杂而乏味，因为该恶意软件每秒可以生成超过十亿个可能的值。 不过，多亏了朋友提供的日志文件，Nugroho 的任务才得以轻松完成。 有了这些数据，他就能确定勒索软件的执行时间，从而可以准备加密基准，估算解密器需要多少时间。

Nugroho 最初尝试在 GeForce RTX 3060 上运行暴力破解攻击，但 GPU 运行速度太慢，每秒只能处理 6000 万个组合。 升级到更高级的 GPU（RTX 3090）也没有明显提高速度，于是他决定通过云服务 RunPod 和 Vast.ai 租用 GPU 时间。 通过在云中使用 16 个 RTX 4090 GPU，Nugroho 只用了 10 多个小时就完成了基准测试过程。

Nugroho 指出，由于 GeForce RTX 4090 具有大量 CUDA 内核，而且租金相对较低，因此是解密被 Akira 勒索软件破解的文件的最佳选择。 开发者以开源许可证的形式提供了他的代码，鼓励"GPU 专家"探索进一步优化的机会。 在当前形式下，KCipher2 的 Akira 解密器在 GeForce RTX 3090 上每秒可实现约 15 亿次加密。

来源：cnBeta