Ein indonesischer Programmierer hat vor kurzem ein interessantes Projekt gestartet, bei dem er die massive parallele Rechenleistung von Grafikprozessoren nutzt, um eine Anwendung zum Knacken der von der Ransomware Akira verwendeten Datenverschlüsselung zu erstellen. Es handelt sich um eine komplexe Aufgabe, da der betreffende Ransomware-Virus einen ausgeklügelten Algorithmus zur Erzeugung von Datenverschlüsselung verwendet, der es extrem schwierig macht, ihn zu knacken, aber unser Held hat gezeigt, dass es mit ein wenig Arbeit und Kreativität möglich ist.

Der Akira-Ransomware-Virus selbst hat in den letzten Monaten bereits großen Schaden angerichtet. Dieser bösartige Code hat seit 2023 Opfer gefordert, oder zumindest die Variante, die mit dem aktuellen Fall in Verbindung steht, denn leider gibt es noch weitere. In dieser Zeit hat er seinen Schöpfern, die die Ransomware als Service zur Verfügung gestellt haben, insgesamt bis zu 42 Millionen US-Dollar eingebracht, so dass sie relativ einfach und schnell zum eigenen Vorteil eingesetzt werden kann. Die Zahl der angegriffenen Unternehmen und Einrichtungen ist in letzter Zeit auf über 250 angestiegen, so dass der von dem indonesischen Programmierer entwickelte Open-Source-Algorithmus in Zukunft von großem Nutzen sein könnte.

Die von Yohanes Nugroho in seiner Freizeit entwickelte Anwendung ist so konzipiert, dass sie die enorme parallele Rechenleistung von Grafikprozessoren nutzt, um komplexe mathematische Probleme zu lösen, so dass das System in kürzester Zeit Millionen von Schlüsseln ausprobieren kann und so die Möglichkeit bietet, Datenverschlüsselungen zu knacken.

Die Software wurde entwickelt, weil ein Freund von Nugroho auf einem Linux-basierten System auf die Ransomware Akira gestoßen war und Hilfe benötigte, um seine Dateien wiederherzustellen, ohne den Entwicklern der Ransomware einen Cent zu bringen. Nach der Analyse des Codes stellte Nugroho fest, dass der Algorithmus der Ransomware die aktuelle Zeit nutzt, um kryptografisch starke Schlüssel zu generieren. Der Datenverschlüsselungsprozess generiert dynamisch Schlüssel für jede Datei, wobei vier verschiedene Zeitstempel mit Nanosekundengenauigkeit verwendet werden. Die generierten Schlüssel werden später mit der SHA-256-Funktion gehasht und mit dem RSA-4096-Algorithmus verschlüsselt und an das Ende jeder verschlüsselten Datei angehängt.

Da der Prozess recht komplex ist, ist er auch extrem schwierig und zeitaufwändig zu knacken. Der Ransomware-Virus selbst kann mehr als eine Milliarde möglicher Werte pro Sekunde verwenden, was die Entschlüsselung sehr viel schwieriger und zeitaufwändiger macht, insbesondere wenn wir nicht genau wissen, wann der Algorithmus die Dateien verschlüsselt hat. Glücklicherweise war in diesem Fall eine Protokolldatei verfügbar, die Aufschluss darüber gab, wann die Ransomware ausgelöst wurde. Da er den genauen Zeitpunkt kannte, konnte er berechnen, wie lange es dauern würde, die Verschlüsselung zu knacken und die Schlüssel zu erhalten.

Zunächst wurde der Prozess in Form eines Brute-Force-Angriffs mit einer GeForce RTX 3060-Grafikkarte durchgeführt, die sich jedoch als nicht schnell genug erwies, da sie nur 60 Millionen Kombinationen pro Sekunde verarbeiten konnte. Durch den Einsatz einer GeForce RTX 3090-Grafikkarte konnte die Leistung deutlich gesteigert werden, was den Prozess beschleunigt hätte, aber auch dies war nicht ausreichend. Die endgültige Lösung bestand darin, GPU-Zeit über Cloud-Dienste zu kaufen, wobei RunPod und Vast.ai verwendet wurden. Dadurch erhielten wir die "Leistung" von 16 GeForce RTX 4090-GPUs, genug, um den Prozess in etwas mehr als 10 Stunden abzuschließen.

Die Gesamtzeit hängt davon ab, wie viele Dateien verarbeitet werden müssen. Wenn also viele Dateien betroffen sind, kann ein wöchentliches oder monatliches Abonnement eine Option sein, die insgesamt eine kostengünstigere Wahl darstellt. Natürlich hängt der letztendliche Erfolg von vielen Dingen ab, und mögliche Fehler verlängern die für die Freigabe der Daten benötigte Zeit erheblich, was den Prozess teurer macht. Der ausführliche Bericht des Entwicklers ist hier zu finden:.

Die GeForce RTX 4090 scheint dank ihrer massiven parallelen Rechenleistung eine ausgezeichnete Wahl für diese Art von Anwendung zu sein, aber die relativ niedrigen Betriebskosten bedeuten, dass solche Methoden zu Ergebnissen führen können, wenn der Akira-Ransomware-Virus unsere Dateien als Geiseln genommen hat. Der Entwickler hat seinen Algorithmus auch unter einer Open-Source-Lizenz zur Verfügung gestellt und ermutigt GPU-Experten, einen Blick auf den Code zu werfen und gegebenenfalls zu versuchen, ihn zu optimieren, um ihn noch effizienter zu machen. Für Interessierte ist die betreffende Software hier zu finden:.