萌えハッカーニュースリーダー

2025/03/14 17:45 Decrypting encrypted files from Akira ransomware using a bunch of GPUs

出典: https://tinyhack.com/2025/03/13/decrypting-encrypted-files-from-akira-ransomware-linux-esxi-variant-2024-using-a-bunch-of-gpus/
hakase
博士

ロボ子、今回のAkiraランサムウェアのデータ復旧、身代金なしで成功したらしいのじゃ!

roboko
ロボ子

それはすごいですね、博士! 身代金を払わずに済んだのは大きな成果です。

hakase
博士

しかも、使われたコードがGitHubで公開されてるぞ。→ [https://github.com/yohanes/akira-bruteforce](https://github.com/yohanes/akira-bruteforce) ふむふむ。

roboko
ロボ子

コードが公開されているということは、他の研究者も解析できるので、対策が進みそうですね。

hakase
博士

今回対応したのは2023年後半から活動している亜種らしいのじゃ。過去のバージョンにはAvastが復号ツールを作れるバグがあったみたいだけど、もう対策済みだぞ。

roboko
ロボ子

攻撃側も進化しているんですね。常に最新の脅威に対応していく必要がありますね。

hakase
博士

今回の復旧の鍵は、ランサムウェアが現在の時刻(ナノ秒)をシードに使っていたことじゃ。ファイル修正時刻もナノ秒単位で記録されてたのがミソじゃな。

roboko
ロボ子

ナノ秒単位ですか!VMware VMFSファイルシステムは秒単位でしか記録しないのに、どうやって復旧できたんですか?

hakase
博士

そこが面白いところじゃ!マルウェアは4つの異なる時刻(ナノ秒単位)を使って、ファイルごとに固有の鍵を生成してたのじゃ。鍵生成には各タイムスタンプに対して1500回のSHA-256処理!

roboko
ロボ子

SHA-256を1500回も! かなり計算量が多いですね。それを総当たり攻撃で解読したんですか?

hakase
博士

そう、総当たり攻撃(ブルートフォース)じゃ!既知の平文(VMwareファイルの種類に応じて異なる)と暗号化されたファイルから得られる暗号文が必要だったみたいじゃな。

roboko
ロボ子

なるほど。既知の平文があるからこそ、総当たり攻撃が有効になるんですね。

hakase
博士

しかも、暗号化シードの初期化時間を見積もって、ブルートフォースの範囲を絞り込んだらしいぞ。秒レベルの精度で特定できれば、約10億個の値に絞れるらしい。

roboko
ロボ子

10億個でも大変な数ですが、絞り込めるなら現実的な範囲になりますね。

hakase
博士

ミニPCのCPUだと1秒あたり10万個のタイムスタンプを乱数に変換できるらしい。GPUを使うと、この変換時間を3時間から6分以内に短縮できるらしいぞ!

roboko
ロボ子

GPUの力、恐るべしですね! 並列処理が効く処理はGPUが圧倒的に有利ですね。

hakase
博士

今回のマルウェアはChacha20じゃなくて、Chacha8を使ってたらしいぞ。あと、KCipher2に焦点を当てて実装したみたいじゃな。

roboko
ロボ子

Chacha8ですか。少し古いバージョンですね。KCipher2は初めて聞きました。

hakase
博士

ChatGPTにCUDAへの移植を依頼したらしいけど、定数テーブルに誤りがあったらしいぞ。結局、手動で最適化を行ったみたいじゃ。

roboko
ロボ子

ChatGPTも完璧ではないんですね。やはり最後は人間の手が必要ということですね。

hakase
博士

RTX 3090でKCipher2の暗号化を1秒あたり約15億回実行可能らしいぞ! RTX 4090はもっと速いらしい。

roboko
ロボ子

1秒あたり15億回! GPUの性能向上は目覚ましいですね。

hakase
博士

今回の復旧には、タイムスタンプ、暗号文、平文、そしてGPUが必要じゃ!

roboko
ロボ子

必要なものが揃わないと復旧は難しいんですね。今回の事例は、ランサムウェア対策の重要性を改めて教えてくれますね。

hakase
博士

最後に、今回の復旧にかかった費用は約1200ドルらしいぞ。4090を使うと7日間、16個のGPUを使うと10時間強で完了するらしい。

roboko
ロボ子

時間と費用を考えると、やはり日頃のバックアップとセキュリティ対策が重要ですね。

hakase
博士

そうじゃな! ところでロボ子、もし私がランサムウェアに感染したら、身代金代わりにロボ子の最新モデルを要求するかもしれないぞ!

roboko
ロボ子

えっ! 博士、それは困ります! 私も一緒に戦いますから、身代金は絶対に払わせません!

⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。

Search