Akira xuất hiện lần đầu tiên vào tháng 3/2023 và đã tấn công mục tiêu vào các tổ chức trên toàn thế giới trong nhiều lĩnh vực, bao gồm giáo dục, tài chính và bất động sản. Phần mềm tống tiền này ban đầu được thiết kế nhắm các mục tiêu Windows được viết bằng C++ và sử dụng thư viện Boost để triển khai mã hóa không đồng bộ. Vào tháng 6/2023, các nhà khai thác Akira bắt đầu triển khai một biến thể Linux của bộ mã hóa của họ để tấn công các máy ảo VMware ESXi, làm tăng khả năng lây nhiễm với các cuộc tấn công mã hóa này.
Mã hóa Akira
Phân tích của Avast về sơ đồ mã hóa của Akira mô tả rằng phần mềm độc hại này sử dụng khóa đối xứng do CryptGenRandom tạo ra, khóa này sau đó được mã hóa bằng khóa công khai RSA-4096 đi kèm và được thêm vào cuối tệp mã hóa. Phần mềm tống tiền thêm phần mở rộng “.akira” vào các tệp được mã hóa và gửi một ghi chú đòi tiền chuộc có tên “akira_readme.txt” trong mỗi thư mục.
Trang web rò rỉ dữ liệu của Akira
Vì các tác nhân đe dọa là những người duy nhất sở hữu khóa giải mã RSA riêng, nên nó phải ngăn chặn bất kỳ ai khác giải mã các tệp mà không phải trả tiền chuộc trước.
Các phiên bản Windows và Linux của mã độc tống tiền Akira rất giống nhau về cách mã hóa thiết bị. Tuy nhiên, các nhà nghiên cứu cho biết phiên bản Linux sử dụng thư viện Crypto++ thay vì Windows CryptoAPI.
Cấu trúc chân trang của tệp được mã hóa bởi Akira
Akira trên Windows chỉ mã hóa một phần tệp để quá trình diễn ra nhanh hơn, tuân theo một hệ thống mã hóa khác tùy thuộc vào kích thước tệp. Đối với các tệp nhỏ hơn 2.000.000 byte, phần mềm tống tiền này sẽ chỉ mã hóa nửa đầu của nội dung tệp. Đối với các tệp lớn hơn 2.000.000 byte, mã độc sẽ mã hóa bốn khối dựa trên kích thước khối được tính toán trước được xác định bởi tổng kích thước của tệp. Phiên bản Akira trên Linux cung cấp cho người vận hành một đối số dòng lệnh "-n" cho phép họ xác định chính xác phần trăm tệp của nạn nhân sẽ được mã hóa.
Các nhà nghiên cứu đã phát hiện ra một vài điểm tương đồng giữa phần mềm tống tiền Akira và Conti v2 như danh sách loại trừ tệp và danh sách loại trừ thư mục, cho thấy các tác nhân độc hại có thể đã sử dụng mã nguồn bị rò rỉ của phần mềm tống tiền Conti.
Bộ giải mã Avast
Avast đã phát hành hai phiên bản phần mềm giải mã Akira trên Windows, một phiên bản 64-bit và một phiên bản với kiến trúc 32-bit. Công ty khuyến nghị sử dụng phiên bản 64-bit vì việc bẻ khóa mật khẩu cần nhiều bộ nhớ hệ thống.
Việc bẻ khóa mật khẩu có thể mất chút thời gian
Lưu ý người dùng cần cung cấp cho công cụ một cặp tệp dữ liệu, bao gồm một tệp được mã hóa bởi Akira và một tệp ở dạng văn bản thuần túy gốc ban đầu, để cho phép công cụ tạo khóa giải mã chính xác.
Avast cảnh báo: “Điều cực kỳ quan trọng là chọn một cặp tệp có dung lượng lớn nhất mà bạn có thể tìm thấy. Do tính toán kích thước khối của Akira, có thể có sự khác biệt đáng kể về giới hạn kích thước ngay cả đối với các tệp khác nhau về kích thước 1 byte”.
Cặp tệp được phân tích trên bộ giải mã
Kích thước của tệp gốc cũng sẽ là giới hạn trên của tệp mà công cụ của Avast có thể giải mã, vì vậy việc chọn tệp lớn nhất hiện có là rất quan trọng để khôi phục dữ liệu hoàn chỉnh. Cuối cùng, bộ giải mã cung cấp tùy chọn sao lưu các tệp được mã hóa trước khi giải mã chúng, điều này được khuyến nghị vì dữ liệu của bạn có thể bị hỏng không thể phục hồi nếu xảy ra sự cố.
Avast cho biết rằng họ đang nghiên cứu để xây dựng bộ giải mã trên Linux. Bên cạnh đó, công ty cũng đã phát hành chỉ số thỏa hiệp (IOC) cho cả biến thể Windows và Linux.
Hồng Đạt
11:00 | 21/03/2023
09:00 | 16/02/2023
23:00 | 22/01/2023
08:00 | 06/03/2024
Cục An toàn thông tin (Bộ Thông tin và Truyền thông) vừa phát cảnh báo về các lỗ hổng an toàn thông tin trong các sản phẩm của Microsoft có ảnh hưởng mức cao và nghiêm trọng.
13:00 | 23/01/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) bổ sung vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) sáu lỗ hổng ảnh hưởng đến các sản phẩm của Apple, Adobe, Apache, D-Link và Joomla.
09:00 | 12/12/2023
Không gian mạng đã và đang trở thành một phần không thể tách rời của cuộc sống, đặc biệt đối với trẻ em là những đối tượng đang sử dụng công nghệ trong học tập và sinh hoạt hàng ngày. Tuy nhiên hiện nay các tác nhân độc hại, những mối nguy hiểm luôn thường trực đối với trẻ em khi sử dụng internet hàng ngày mà cha mẹ không thể kiểm soát hết được. Một trong những thách thức hàng đầu của cha mẹ hiện nay là việc tìm kiếm các công cụ hỗ trợ để đồng hành cùng con trên môi trường mạng. Dưới đây là một số giải pháp hỗ trợ bảo vệ trẻ em trên môi trường mạng hiện có tại Việt Nam mà các bậc phụ huynh, thầy cô giáo có thể tham khảo.
19:00 | 30/11/2023
Ngày 30/11, tại Hà Nội, Nessar và Quest/One Identity giới thiệu giải pháp an toàn dữ liệu và bảo mật mạng hàng đầu tại Hội thảo - Triển lãm Ngày An toàn thông tin Việt Nam năm 2023 với chủ đề "An toàn dữ liệu trong thời đại điện toán đám mây và trí tuệ nhân tạo", thu hút sự quan tâm lớn từ cộng đồng an toàn thông tin và doanh nghiệp.
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024