Akira xuất hiện lần đầu tiên vào tháng 3/2023 và đã tấn công mục tiêu vào các tổ chức trên toàn thế giới trong nhiều lĩnh vực, bao gồm giáo dục, tài chính và bất động sản. Phần mềm tống tiền này ban đầu được thiết kế nhắm các mục tiêu Windows được viết bằng C++ và sử dụng thư viện Boost để triển khai mã hóa không đồng bộ. Vào tháng 6/2023, các nhà khai thác Akira bắt đầu triển khai một biến thể Linux của bộ mã hóa của họ để tấn công các máy ảo VMware ESXi, làm tăng khả năng lây nhiễm với các cuộc tấn công mã hóa này.
Mã hóa Akira
Phân tích của Avast về sơ đồ mã hóa của Akira mô tả rằng phần mềm độc hại này sử dụng khóa đối xứng do CryptGenRandom tạo ra, khóa này sau đó được mã hóa bằng khóa công khai RSA-4096 đi kèm và được thêm vào cuối tệp mã hóa. Phần mềm tống tiền thêm phần mở rộng “.akira” vào các tệp được mã hóa và gửi một ghi chú đòi tiền chuộc có tên “akira_readme.txt” trong mỗi thư mục.
Trang web rò rỉ dữ liệu của Akira
Vì các tác nhân đe dọa là những người duy nhất sở hữu khóa giải mã RSA riêng, nên nó phải ngăn chặn bất kỳ ai khác giải mã các tệp mà không phải trả tiền chuộc trước.
Các phiên bản Windows và Linux của mã độc tống tiền Akira rất giống nhau về cách mã hóa thiết bị. Tuy nhiên, các nhà nghiên cứu cho biết phiên bản Linux sử dụng thư viện Crypto++ thay vì Windows CryptoAPI.
Cấu trúc chân trang của tệp được mã hóa bởi Akira
Akira trên Windows chỉ mã hóa một phần tệp để quá trình diễn ra nhanh hơn, tuân theo một hệ thống mã hóa khác tùy thuộc vào kích thước tệp. Đối với các tệp nhỏ hơn 2.000.000 byte, phần mềm tống tiền này sẽ chỉ mã hóa nửa đầu của nội dung tệp. Đối với các tệp lớn hơn 2.000.000 byte, mã độc sẽ mã hóa bốn khối dựa trên kích thước khối được tính toán trước được xác định bởi tổng kích thước của tệp. Phiên bản Akira trên Linux cung cấp cho người vận hành một đối số dòng lệnh "-n" cho phép họ xác định chính xác phần trăm tệp của nạn nhân sẽ được mã hóa.
Các nhà nghiên cứu đã phát hiện ra một vài điểm tương đồng giữa phần mềm tống tiền Akira và Conti v2 như danh sách loại trừ tệp và danh sách loại trừ thư mục, cho thấy các tác nhân độc hại có thể đã sử dụng mã nguồn bị rò rỉ của phần mềm tống tiền Conti.
Bộ giải mã Avast
Avast đã phát hành hai phiên bản phần mềm giải mã Akira trên Windows, một phiên bản 64-bit và một phiên bản với kiến trúc 32-bit. Công ty khuyến nghị sử dụng phiên bản 64-bit vì việc bẻ khóa mật khẩu cần nhiều bộ nhớ hệ thống.
Việc bẻ khóa mật khẩu có thể mất chút thời gian
Lưu ý người dùng cần cung cấp cho công cụ một cặp tệp dữ liệu, bao gồm một tệp được mã hóa bởi Akira và một tệp ở dạng văn bản thuần túy gốc ban đầu, để cho phép công cụ tạo khóa giải mã chính xác.
Avast cảnh báo: “Điều cực kỳ quan trọng là chọn một cặp tệp có dung lượng lớn nhất mà bạn có thể tìm thấy. Do tính toán kích thước khối của Akira, có thể có sự khác biệt đáng kể về giới hạn kích thước ngay cả đối với các tệp khác nhau về kích thước 1 byte”.
Cặp tệp được phân tích trên bộ giải mã
Kích thước của tệp gốc cũng sẽ là giới hạn trên của tệp mà công cụ của Avast có thể giải mã, vì vậy việc chọn tệp lớn nhất hiện có là rất quan trọng để khôi phục dữ liệu hoàn chỉnh. Cuối cùng, bộ giải mã cung cấp tùy chọn sao lưu các tệp được mã hóa trước khi giải mã chúng, điều này được khuyến nghị vì dữ liệu của bạn có thể bị hỏng không thể phục hồi nếu xảy ra sự cố.
Avast cho biết rằng họ đang nghiên cứu để xây dựng bộ giải mã trên Linux. Bên cạnh đó, công ty cũng đã phát hành chỉ số thỏa hiệp (IOC) cho cả biến thể Windows và Linux.
Hồng Đạt
11:00 | 21/03/2023
13:00 | 28/08/2024
09:00 | 16/02/2023
13:00 | 25/10/2024
23:00 | 22/01/2023
13:00 | 25/12/2024
Ngày 20/12,Giám đốc điều hành OpenAI Sam Altman thông báo công ty đang thử nghiệm các mô hình trí tuệ nhân tạo (AI) mới có khả năng suy luận tốt hơn, qua đó tăng khả năng cạnh tranh với các đối thủ khác.
17:00 | 22/11/2024
Gmail vừa được nâng cấp mạnh mẽ với tính năng "Trả lời thông minh" mới, nhờ sức mạnh của AI Gemini. Giờ đây, người dùng sẽ nhận được những gợi ý trả lời email tự động thông minh hơn, chính xác và khớp với nội dung email hơn. Tính năng này không chỉ giúp bạn tiết kiệm thời gian soạn thư mà còn nâng cao hiệu quả giao tiếp trong công việc.
15:00 | 29/10/2024
Đầu tháng 10 vừa qua, Synopsys Software Integrity Group đã đánh dấu một bước ngoặt mới trong hành trình phát triển của mình với việc chính thức đổi tên thương hiệu thành Black Duck (Black Duck® Software, Inc.). Black Duck hứa hẹn sẽ mang đến những giải pháp bảo mật ứng dụng toàn diện, mạnh mẽ và đáng tin cậy, giúp các tổ chức và doanh nghiệp an toàn trên hành trình chuyển đổi số.
16:00 | 24/10/2024
Ngày 23/10/2024, nền tảng học trực tuyến MasterTeck được Viện Công nghệ Blockchain và Trí tuệ nhân tạo ABAII, một thành viên của Hiệp hội Blockchain Việt Nam (VBA) chính thức ra mắt, hướng tới phổ cập Blockchain và AI cho 1 triệu người dân Việt Nam thông qua việc phát triển các khóa học trực tuyến mở.
Ngày 24/12, chính quyền Iran đã dỡ bỏ lệnh cấm đối với nền tảng nhắn tin WhatsApp và Google Play như một bước đầu tiên để thu hẹp các hạn chế về internet.
08:00 | 02/01/2025