14 مهر 1403

قرارگاه جنبش انقلابیون (قجا)

قرارگاه امنیتی و سایبری جنبش انقلابیون جمهوری اسلامی ایران

رمزگشا برای باج افزار بدنام Akira منتشر شد

باج‌افزار Akira در سال 2017 ظاهر شد و پوشه‌های ویدیو را بدون گذاشتن هیچ یادداشتی برای باج‌گذاری رمزگذاری کرد. فایل رمزگذاری شده توسط باج افزار Akira دارای پسوند akira. است.

محققان روی رمزگشایی فایل‌های تحت تأثیر باج‌افزار کار کرده‌اند و در نهایت به پیشرفتی دست یافته‌اند.
محققان Avast راهی برای رمزگشایی فایل های تحت تاثیر باج افزار Akira یافته اند. Avast همچنین نسخه 64 بیتی و همچنین 32 بیتی ابزار رمزگشا را برای کاربران منتشر کرده است.

تجزیه و تحلیل فنی باج افزار Akira

این باج افزار بر آموزش، امور مالی، املاک و مستغلات و بسیاری از سازمان های دیگر تأثیر گذاشته است.

باج افزار Akira به طور خاص برای پلتفرم های ویندوز ساخته شده است زیرا از ویندوز باینری 64 بیتی برای رمزگذاری فایل ها استفاده می کند. به زبان C++ نوشته شده است و از کتابخانه های C++ زیادی استفاده می کند.

آکیرا از رمزگذاری متقارن استفاده می کند که دارای یک کلید رمزگذاری است که توسط تابع CryptGenRandom()‎ توسط Windows CryptAPI تولید می شود و از ChaCha 2008 برای رمزگذاری فایل ها در سیستم های آسیب دیده استفاده می کند.

با این حال، این باج افزار سیستم عامل لینوکس را نیز تحت تاثیر قرار داده است و از کتابخانه Crypto++ به عنوان جایگزینی برای Windows CryptAPI استفاده می کند.
به طور پیش‌فرض، باج‌افزار پوشه‌ها و پسوند فایل‌های خاصی را از رمزگذاری مستثنی می‌کند، که شامل:

فایل ها

     exe
     dll
     .lnk
     .sys
     msi
     Akira_readme.txt

پوشه ها

•    winnt ‪(default installation folder of Windows 2000)‬
•    temp
•    thumb
•    $Recycle.bin
•    $RECYCLE.BIN
•    System Volume Information
•    Boot
•    Windows
•    Trend Micro

باج افزار آکیرا در مقابل باج افزار Conti

به نظر می رسد شباهت های زیادی بین باج افزار Conti V2 و باج افزار Akira وجود دارد. این می تواند به دلیل الهام گرفتن نویسندگان از Conti باشد.

به نظر می رسد فهرست فایل ها و پوشه های حذف شده، ساختار دنباله فایل، استفاده از ChaCha 2008 و استفاده از CryptGenRandom و CryptEncrypt بسیار شبیه به باج افزار Conti باشد.

Avast در حال حاضر روی ابزار رمزگشا برای نسخه لینوکس خود کار می کند.

درست مانند هر باج افزار دیگری، یادداشت های باج دو وب سایت tor را ارائه می دهند: سایت پرداخت و سایت لیست قربانیان (فهرست قربانیان باج افزار Akira را نشان می دهد).

ابزار رمزگشا و نحوه استفاده از آن؟

Avast گزارش کامل و دستورالعمل های نحوه استفاده از این ابزار را ارائه کرده است. کاربران باید ابزار رمزگشایی (32 بیتی یا 64 بیتی) را از وب سایت Avast دانلود کرده و آن را به عنوان یک سرپرست اجرا کنند، که Wizard را برای رمزگشایی فعال می کند.

کاربران باید دو فایل یکسان را ارسال کنند که یکی از آنها باید یک فایل اصلی و دیگری همان فایلی باشد که تحت تاثیر باج افزار Akira با پسوند (.akira) قرار دارد.

این ابزار مدتی طول می کشد تا رمز عبور برای رمزگشایی فایل ها را دریافت کند. در پایان، این ابزار همچنین از فایل های رمزگشایی شده با استفاده از جادوگر درخواست نسخه پشتیبان می کند.

باج‌افزار از یک کلید رمزگذاری متقارن RSA-4096 استفاده می‌کرد که در انتهای فایل ضمیمه شده بود در حالی که کلید عمومی در داخل باج‌افزار دودویی کدگذاری شد

” ” “”قرارگاه جنبش انقلابیون””

” https://313-313.ir/