GPU 기반 Akira 리눅스 랜섬웨어 복호화 도구 공개

Researcher releases free GPU-Based decryptor for Linux Akira ransomware

Researcher releases free GPU-Based decryptor for Linux Akira ransomware

 

Decrypting Akira Ransomware on Linux/ESXi Without Paying Hackers

Decrypting Akira Ransomware on Linux/ESXi Without Paying Hackers

 

• 개요
  • 보안 연구원 Yohanes Nugroho가 Akira 리눅스/ESXi 랜섬웨어를 대상으로 한 GPU 기반 무료 복호화 도구를 개발하여 GitHub에 공개
  • 이 도구는 전통적인 복호화 방식이 아닌, Akira의 난수 생성 구조의 취약점을 이용해 타임스탬프 기반 키를 GPU로 브루트포싱하는 방식 채택
  • Akira는 파일마다 고유한 암호화 키를 생성하며, 이 키는 네 개의 나노초 단위 타임스탬프를 기반으로 1,500회 SHA-256 해시를 수행해 생성됨
• 암호화 구조 분석
  • 난수 생성 과정은 generate_random 함수에서 수행되며, Yarrow256 알고리즘에 나노초 단위 현재 시간이 시드로 사용됨
  • 파일 암호화 방식은 KCipher2와 Chacha8 알고리즘을 블록 단위로 결합해 사용하고, 해당 키는 RSA-4096으로 암호화돼 파일 끝에 저장됨
  • 각 파일은 고유한 시드와 키를 가지며, 복호화를 위해 동일한 타임스탬프 조합을 재현해야 함
• 복호화 접근 방식
  • 연구원은 감염된 시스템의 로그 파일, 파일 메타데이터, 하드웨어 성능 분석을 통해 암호화 발생 시간 범위를 추정
  • 추정된 타임스탬프 범위를 바탕으로 GPU를 활용해 가능한 키를 생성 후, 파일에서 추출한 평문(예: flat-VMDK 파일의 앞 8바이트)과 비교
  • RTX 4090 GPU 16대를 클라우드 환경에서 활용해 10시간 내 복호화 완료, 총 비용은 약 $1,200 소요
• 복호화 도구 구성 및 최적화
  • GitHub에 공개된 도구는 C++ 및 Python으로 구현되었으며, CUDA 기반 GPU 가속을 지원
  • 주요 최적화 기법은 다음과 같음
    • 타임스탬프 조합의 병렬 처리
    • 파일 포맷별 평문 특성을 활용한 빠른 검증 루틴
    • ESXi 로그를 활용한 탐색 범위 축소
  • 도구는 현재 특정 Akira 변종(2023년 말부터 활성화된 버전)에 한해 작동하며, 향후 변종에는 적용되지 않을 수 있음
• 결론
  • Akira의 암호화 구조는 고도화되었지만, 시드 생성의 불완전성과 시간 기반 의존성은 복호화의 실마리를 제공
  • GPU 연산 자원을 활용한 브루트포싱 기법은 고비용이지만 일정 조건하에 성공 가능, 타임리한 로그 확보가 중요
  • 해당 도구는 랜섬을 지불하지 않고도 데이터 복구가 가능함을 보여주는 사례로, 유사 환경의 조직에는 대체 수단 제공 가능