Akira xuất hiện lần đầu tiên vào tháng 3/2023 và đã tấn công mục tiêu vào các tổ chức trên toàn thế giới trong nhiều lĩnh vực, bao gồm giáo dục, tài chính và bất động sản. Phần mềm tống tiền này ban đầu được thiết kế nhắm các mục tiêu Windows được viết bằng C++ và sử dụng thư viện Boost để triển khai mã hóa không đồng bộ. Vào tháng 6/2023, các nhà khai thác Akira bắt đầu triển khai một biến thể Linux của bộ mã hóa của họ để tấn công các máy ảo VMware ESXi, làm tăng khả năng lây nhiễm với các cuộc tấn công mã hóa này.
Mã hóa Akira
Phân tích của Avast về sơ đồ mã hóa của Akira mô tả rằng phần mềm độc hại này sử dụng khóa đối xứng do CryptGenRandom tạo ra, khóa này sau đó được mã hóa bằng khóa công khai RSA-4096 đi kèm và được thêm vào cuối tệp mã hóa. Phần mềm tống tiền thêm phần mở rộng “.akira” vào các tệp được mã hóa và gửi một ghi chú đòi tiền chuộc có tên “akira_readme.txt” trong mỗi thư mục.
Trang web rò rỉ dữ liệu của Akira
Vì các tác nhân đe dọa là những người duy nhất sở hữu khóa giải mã RSA riêng, nên nó phải ngăn chặn bất kỳ ai khác giải mã các tệp mà không phải trả tiền chuộc trước.
Các phiên bản Windows và Linux của mã độc tống tiền Akira rất giống nhau về cách mã hóa thiết bị. Tuy nhiên, các nhà nghiên cứu cho biết phiên bản Linux sử dụng thư viện Crypto++ thay vì Windows CryptoAPI.
Cấu trúc chân trang của tệp được mã hóa bởi Akira
Akira trên Windows chỉ mã hóa một phần tệp để quá trình diễn ra nhanh hơn, tuân theo một hệ thống mã hóa khác tùy thuộc vào kích thước tệp. Đối với các tệp nhỏ hơn 2.000.000 byte, phần mềm tống tiền này sẽ chỉ mã hóa nửa đầu của nội dung tệp. Đối với các tệp lớn hơn 2.000.000 byte, mã độc sẽ mã hóa bốn khối dựa trên kích thước khối được tính toán trước được xác định bởi tổng kích thước của tệp. Phiên bản Akira trên Linux cung cấp cho người vận hành một đối số dòng lệnh "-n" cho phép họ xác định chính xác phần trăm tệp của nạn nhân sẽ được mã hóa.
Các nhà nghiên cứu đã phát hiện ra một vài điểm tương đồng giữa phần mềm tống tiền Akira và Conti v2 như danh sách loại trừ tệp và danh sách loại trừ thư mục, cho thấy các tác nhân độc hại có thể đã sử dụng mã nguồn bị rò rỉ của phần mềm tống tiền Conti.
Bộ giải mã Avast
Avast đã phát hành hai phiên bản phần mềm giải mã Akira trên Windows, một phiên bản 64-bit và một phiên bản với kiến trúc 32-bit. Công ty khuyến nghị sử dụng phiên bản 64-bit vì việc bẻ khóa mật khẩu cần nhiều bộ nhớ hệ thống.
Việc bẻ khóa mật khẩu có thể mất chút thời gian
Lưu ý người dùng cần cung cấp cho công cụ một cặp tệp dữ liệu, bao gồm một tệp được mã hóa bởi Akira và một tệp ở dạng văn bản thuần túy gốc ban đầu, để cho phép công cụ tạo khóa giải mã chính xác.
Avast cảnh báo: “Điều cực kỳ quan trọng là chọn một cặp tệp có dung lượng lớn nhất mà bạn có thể tìm thấy. Do tính toán kích thước khối của Akira, có thể có sự khác biệt đáng kể về giới hạn kích thước ngay cả đối với các tệp khác nhau về kích thước 1 byte”.
Cặp tệp được phân tích trên bộ giải mã
Kích thước của tệp gốc cũng sẽ là giới hạn trên của tệp mà công cụ của Avast có thể giải mã, vì vậy việc chọn tệp lớn nhất hiện có là rất quan trọng để khôi phục dữ liệu hoàn chỉnh. Cuối cùng, bộ giải mã cung cấp tùy chọn sao lưu các tệp được mã hóa trước khi giải mã chúng, điều này được khuyến nghị vì dữ liệu của bạn có thể bị hỏng không thể phục hồi nếu xảy ra sự cố.
Avast cho biết rằng họ đang nghiên cứu để xây dựng bộ giải mã trên Linux. Bên cạnh đó, công ty cũng đã phát hành chỉ số thỏa hiệp (IOC) cho cả biến thể Windows và Linux.
Hồng Đạt
11:00 | 21/03/2023
09:00 | 16/02/2023
23:00 | 22/01/2023
09:00 | 04/04/2024
Ngày 18/3, phát biểu tại Hội nghị GPU Technology Conference - GTC 2024, ông Jensen Huang, Giám đốc điều hành Nvidia đã giới thiệu các sản phẩm mới của công ty, trong đó trình làng chip Blackwell có tốc độ xử lý AI nhanh hơn từ 7 đến 30 lần tùy tác vụ so với phiên bản Hopper H100, qua đó ngày càng khẳng định vị trí thống trị của nhà sản xuất chip trong lĩnh vực AI.
08:00 | 12/03/2024
Hai lỗ hổng lần lượt có mã định danh CVE-2024-24401 và CVE-2024-24402 được tìm thấy trong Nagios XI - một công cụ giám sát hạ tầng mạng trong doanh nghiệp. Đáng lưu ý, cả hai lỗ hổng đều chưa có điểm CVSS.
08:00 | 11/01/2024
Hãng sản xuất thiết bị chip hàng đầu thế giới - ASML đã hủy một số lô hàng sang Trung Quốc theo yêu cầu của chính phủ Mỹ vào thời điểm trước khi lệnh cấm xuất khẩu có hiệu lực.
16:00 | 08/12/2023
Nhằm tăng cường, trực quan hoá các kiến thức, kỹ năng tự bảo vệ, phòng ngừa trước các nguy cơ xâm hại trẻ em trên môi trường mạng, Cục C02, Bộ Công an đã tham gia xây dựng phần mềm “Phòng, chống xâm hại trẻ em”. Ứng dụng có thể cài đặt trên thiết bị thông minh chạy điều hành Androi và IOS, với các bộ câu hỏi liên quan đến lĩnh vực: Xâm hại trẻ em, bạo lực học đường, phòng, chống ma tuý, căn cước công dân, an toàn giao thông…, các hình ảnh hướng dẫn kỹ năng phòng, chống xâm hại trẻ em; đường dây nóng của các đơn vị và những câu chuyện liên quan đến tình huống xâm hại trẻ em.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024
