在99.9% 的情況下如果你被勒索軟體感染那想要恢復資料是不可能的，除非你向駭客支付贖金獲得解密金鑰，只不過通常是駭客索要的贖金都非常高昂。勒索軟體加密資料的原理主要採集部分資料作為種子然後再採用高強度演算法進行加密，希望透過暴力破解獲得解密金鑰是個希望渺茫的事情，除非在機緣巧合下你發現勒索軟體存在漏洞。

白帽駭客TinyHack 日前在部落格分享幫助客戶恢復被勒索軟體Akira 加密的Linux/VMware ESXi 系統數據，由於嘗試利用漏洞和進行暴力破解，最終TinyHack 花費大約20 天才完成解密。

當然這裡也存在機緣巧合的事情，那就是客戶感染的勒索軟體Akira 變體版本存在缺陷，這個缺陷並不算漏洞，而是Akira 採用的加密方式不合理，在找到缺陷後TinyHack 與朋友到數據中心裡找到被感染的硬體進行測試，總體來說思路是可行的。

進行暴力破解的關鍵步驟是計算偏移值和便宜範圍，在實際操作過程中需要枚舉的偏移值有4500 萬億對，如果使用每秒能夠進行加密5000 萬次的系統，完成這些加密對的暴力破解需要幾百天。

如果使用更多GPU 那就可以提高算力從而加快破解速度，TinyHack 還對演算法進行最佳化顯著提高了破解速度，接下來就是考慮成本方案，看看哪種方案最終成本更低。

最終的破解速度：

• 在NVIDIA RTX 3090 上經過最佳化的演算法可以實現每秒15 億次KCipher2 加密
• 對於使用單一偏移測試10 億個值需要0.7 秒，包括檢查匹配的時間，每批最多可以匹配32 個
• 在單一GPU 上測試200 萬個偏移大約需要16 天，所以在16 個GPU 上只需要1 天
• 如果換成RTX 4090 那速度可以提高2.3 倍，但RTX 4090 的價格比RTX 3090 高出60%
• 使用RTX 4090 相同程序在單一GPU 上需要7 天，使用16 塊4090 大約需要10 小時

當然直接購買RTX 4090 進行破解那成本太高了，所以客戶剛開始的考慮是透過G​​oogle Cloud 租用一個月的GPU 進行破解，但這個方案大約需要花費數萬美元。

最後TinyHack 找到價格更便宜的替代方案，Runpod 和Vast.ai，包含所有試驗和測試，最終成本是1200 美元，找到密鑰後還需要獲取文件的時間戳、獲取文件的密文和明文等，不過最後這個數據中心客戶大量被加密的VMDK 磁碟被解密。

有興趣的網友可以點這裡看原文：https://tinyhack.com/2025/03/13/decrypting-encrypted-files-from-akira-ransomware-linux-esxi-variant-2024-using-a-bunch-of-gpus/