Pour contrer ce dangereux ransomware, il suffit d’une carte graphique et d’un peu de patience

Un programmeur a découvert qu'en mettant à contribution une ou plusieurs cartes graphiques, il était possible de débloquer des fichiers chiffrés par un ransomware pourtant réputé comme inviolable.

Les ransomwares fonctionnent tous de la même façon. Après avoir infecté un ordinateur ou, pire, le réseau d'une entreprise, ils vont rendre inaccessible les fichiers qu'ils y trouvent en les chiffrant. Une fois la besogne terminée, les pirates envoient une demande de rançon en échange de la clé nécessaire au déblocage des données. Ça, c'est le principe de base. Pour ce qui est du code, chaque malware de ce genre a ses spécificités qui le rend plus ou moins difficile à gérer sans payer quoi que ce soit.

Parmi ces programmes malvaillants, le nom d'Akira revient régulièrement. Découvert pour la première fois en 2023, il a connu depuis plusieurs variantes qui continuent de sévir aujourd’hui, allant même jusqu'à exploiter des failles improbables comme le firmware d'une webcam. Tous les hackers ne se servent pas nécessairement de la dernière version en date, généralement la plus dangereuse. Et c'est justement ça qui a permis à une société touchée de récupérer ses fichiers en ignorant la rançon, uniquement avec une carte graphique.

Faire sauter le chiffrement de ce puissant ransomware nécessite une simple carte graphique

Après analyse, l'auteur du blog Tinyhack, programmeur de son état, a conclu que la variante d'Akira utilisée contre la firme concernée chiffrait les fichiers à l'aide d'une méthode vulnérable à une attaque par force brute. Il a donc chargé une carte graphique Nvidia RTX 4090 de tester toutes les possibilités afin de trouver la clé, et elle y est parvenue en 7 jours. L'expert note qu'avec 16 GPU travaillant en parallèle, le temps de l'opération est réduit à environ 10 heures.

Lire aussi – Grâce à la RTX 4090, les pirates peuvent craquer des centaines de mots de passe par jour

Les détails de la démarche, ainsi que le code utilisé, sont accessibles sur Tinyhack. Lucide, l'auteur explique qu'après ça, les développeurs d'Akira vont sûrement modifier leur méthode de chiffrement. Les entreprises actuellement infectées par le ransomware peuvent en revanche se servir du travail accompli pour récupérer leurs données. Pas besoin de dévaliser les boutiques vendant des cartes graphiques, elles pourront louer les serveurs de structures spécialisées.