Décrypter le Ransomware AKIRA
Vous avez une note de rançon : AKIRA_README.txt
Vos fichiers sont-ils inaccessibles en raison du ransomware Akira ? Ils ont été renommés en .akira ? Nous disposons des outils pour les déchiffrer.
Présentation
AKIRA est apparu publiquement au début de l’année 2023, succédant indirectement à plusieurs groupes dissous ou démantelés. De nombreux analystes estiment que ses membres proviennent d’anciens collectifs tels que Conti, Hive ou LockBit, ce qui expliquerait la maturité immédiate de ses outils et de ses méthodes. En 2025, il demeure l’un des groupes les plus actifs observés par les équipes de réponse à incident et de récupération de données.
Le groupe opère selon un modèle Ransomware-as-a-Service (RaaS), avec un noyau central qui développe l’encryptor et gère la communication, et des affiliés responsables des intrusions et du déploiement. Cette organisation lui permet une montée en charge rapide et une forte capacité d’adaptation.
Nombre de victimes et secteurs ciblés
Depuis son apparition, AKIRA revendique plusieurs centaines de victimes, avec une activité soutenue en Europe, Amérique du Nord et Asie-Pacifique. Les secteurs les plus touchés sont :
- Industrie et manufacturing
- Logistique et transport
- Services professionnels
- Santé et éducation
- PME et ETI disposant d’infrastructures hybrides
Contrairement à certains groupes opportunistes, AKIRA privilégie des cibles disposant de données critiques et d’une dépendance opérationnelle forte, maximisant ainsi la pression lors de la négociation.
Vitesse et stratégie de chiffrement
L’un des points forts du ransomware AKIRA réside dans sa vitesse de chiffrement élevée.
Les analyses terrain montrent que :
- le chiffrement peut débuter quelques minutes après l’accès administrateur,
- les serveurs de fichiers, machines virtuelles et NAS sont ciblés en priorité,
- les sauvegardes connectées sont systématiquement supprimées ou chiffrées.
AKIRA adapte son déploiement à l’environnement : exécution manuelle, scripts automatisés ou utilisation d’outils natifs (Living off the Land). Cette approche réduit la détection par les EDR et accélère la compromission globale.
Les 4 principaux concurrents d’Akira
Algorithmes de chiffrement utilisés
AKIRA utilise un schéma de chiffrement hybride, combinant :
- ChaCha20 pour le chiffrement rapide des fichiers
- RSA ou ECC pour la protection des clés de session.
Les implémentations observées sont robustes, sans vulnérabilité cryptographique connue à ce jour. En pratique, cela signifie qu’en l’absence de sauvegardes exploitables, le déchiffrement sans clé fournie par le groupe est quasi impossible.
Le ransomware prend également soin de ne pas chiffrer certains fichiers système, afin d’éviter un crash immédiat et de permettre à la victime de lire la note de rançon.
Extension de fichiers AKIRA
Une fois le chiffrement terminé, les fichiers affectés sont renommés avec une extension spécifique, généralement :
Dans certaines variantes, l’extension peut inclure un identifiant propre à la victime ou à l’affilié. Cette signature facilite l’attribution de l’attaque et est fréquemment utilisée comme indicateur de compromission (IoC).
Note de rançon et communication
AKIRA dépose une note de rançon dans chaque répertoire chiffré, souvent nommée :
Le contenu est relativement sobre, avec :
- la confirmation du vol et du chiffrement des données,
- une menace explicite de publication sur le site de fuite du groupe,
- une invitation à contacter les opérateurs via un site Tor dédié.
Le ton se veut « professionnel » et non insultant, AKIRA cherchant à instaurer une relation de négociation plutôt qu’une intimidation brute.
Montants de rançon
Les montants exigés par AKIRA varient fortement selon la taille de la victime :
- PME : de 50 000 à 300 000 €
- ETI / grands comptes : plusieurs millions d’euros
- Monnaie exigée : Bitcoin (principalement)
Impact sur la récupération de données
Les attaques AKIRA posent des défis importants pour la récupération de données :
- Suppression des snapshots,
- Chiffrement des sauvegardes
- Effacement ou réinitialisation des NAS
La récupération repose alors sur des sauvegardes hors ligne, des copies dégradées ou des reconstructions partielles, nécessitant une expertise avancée.
Pourquoi choisir Recoveo pour récupérer vos données
SCANX est un ensemble d’outils propriétaires
Expérience : 25 ans, 25 personnes, depuis 20219 dans le ransomware
Vision globale monde et remote
Confidentialité garantie
Toutes saturations et environnement (lien interne vers les pages)
Serveurs, tout hyperviseurs, toutes vms, backup…
Notre process de récupération
Prise en charge immédiate via un call technique. Nous qualifions l'incident pour activer les ressources d'urgence adaptées à votre situation critique.
Clonage sécurisé, analyse d'échantillons et évaluation de l'intégrité des volumes pour déterminer la faisabilité technique et la qualité récupérable.
Remise d'une offre commerciale transparente et détaillée, basée sur les résultats du diagnostic, sans frais cachés ni engagement préalable.
Exécution des travaux de reconstruction et de réparation des fichiers endommagés par nos ingénieurs experts dans notre laboratoire sécurisé.
Vérification de l'intégrité des données via un listing précis. Facturation déclenchée uniquement si vos fichiers prioritaires sont fonctionnels.
Transfert des données récupérées sur un support sain neuf ou via un lien sécurisé, selon le volume et vos contraintes de sécurité.
Mobiliser notre cellule d'urgence
Nos laboratoires sont situés à Paris et à Lyon (France).
Obtenez une réponse dans l'heure.
Un service spécialisé de Recoveo, leader français de la récupération de données.
FAQ
Vos questions fréquentes
Tout ce que vous devez savoir sur les services de récupération de données de base de données.