logo SOS Ransomware
Kontakt 24/7

Entschlüsseln der Ransomware AKIRA

Sie haben eine Lösegeldforderung erhalten: AKIRA_README.txt

Sind Ihre Dateien aufgrund der Ransomware Akira unzugänglich? Wurden sie in .akira umbenannt? Wir verfügen über die Tools, um sie zu entschlüsseln.

Beratung anfordern
Screenshot

Präsentation

AKIRA trat Anfang 2023 öffentlich in Erscheinung und trat damit indirekt die Nachfolge mehrerer aufgelöster oder zerschlagener Gruppen an. Viele Analysten gehen davon aus, dass seine Mitglieder aus ehemaligen Kollektiven wie Conti, Hive oder LockBit stammen, was die sofortige Ausgereiftheit seiner Tools und Methoden erklären würde. Im Jahr 2025 ist sie nach wie vor eine der aktivsten Gruppen, die von Teams für Incident Response und Datenwiederherstellung beobachtet werden.

Die Gruppe arbeitet nach einem Ransomware-as-a-Service-Modell (RaaS) mit einem zentralen Kern, der den Encryptor entwickelt und die Kommunikation verwaltet, sowie verbundenen Unternehmen, die für die Einbrüche und die Bereitstellung zuständig sind. Diese Organisation ermöglicht ihr eine schnelle Skalierbarkeit und eine hohe Anpassungsfähigkeit.

Anzahl der Opfer und betroffene Sektoren

Seit seinem Auftreten hat AKIRA mehrere hundert Opfer gefordert und ist vor allem in Europa, Nordamerika und im asiatisch-pazifischen Raum aktiv. Die am stärksten betroffenen Sektoren sind:

  • Industrie und manufacturing
  • Logistik und transport
  • Professionnelle Dienstleistungen
  • Gesundheit und Bildung
  • KMU und mittelständische Unternehmen mit hybriden Infrastrukturen

Im Gegensatz zu einigen opportunistischen Gruppen bevorzugt AKIRA Ziele, die über kritische Daten verfügen und eine starke operative Abhängigkeit aufweisen, um so den Druck bei den Verhandlungen zu maximieren.

Geschwindigkeit und Verschlüsselungsstrategie

Eine der Stärken der Ransomware AKIRA liegt in ihrer hohen Verschlüsselungsgeschwindigkeit.

Feldanalysen zeigen, dass:

  • Die Verschlüsselung kann wenige Minuten nach dem Administratorzugriff beginnen.
  • Fileserver, virtuelle Maschinen und NAS werden vorrangig angegriffen.
  • Die verbundenen Backups werden systematisch gelöscht oder verschlüsselt.

AKIRA passt seine Bereitstellung an die Umgebung an: manuelle Ausführung, automatisierte Skripte oder Verwendung nativer Tools (Living off the Land). Dieser Ansatz reduziert die Erkennung durch EDRs und beschleunigt die allgemeine Kompromittierung.

Les 4 principaux concurrents d’Akira

Lynx
Nightspire
Ransomhouse
Blackshrantac
Anubis

Verwendete Verschlüsselungsalgorithmen

AKIRA verwendet ein hybrides Verschlüsselungsschema, das Folgendes kombiniert:

  • ChaCha20 für die schnelle Verschlüsselung von Dateien,
  • RSA ou ECC für den Schutz von Sitzungsschlüsseln.

Die beobachteten Implementierungen sind robust und weisen bislang keine bekannten kryptografischen Schwachstellen auf. In der Praxis bedeutet dies, dass ohne verwertbare Sicherungskopien eine Entschlüsselung ohne den von der Gruppe bereitgestellten Schlüssel unseres Wissens nach nahezu unmöglich ist.

Die Ransomware achtet außerdem darauf, bestimmte Systemdateien nicht zu verschlüsseln, um einen sofortigen Absturz zu vermeiden und dem Opfer das Lesen der Lösegeldforderung zu ermöglichen.

AKIRA-Extension

Nach Abschluss der Verschlüsselung werden die betroffenen Dateien mit einer bestimmten Extension umbenannt, in der Regel:

.dateiname.akira

In einigen Varianten kann die Extension eine eindeutige Kennung des Opfers oder des Affiliates enthalten. Diese Signatur erleichtert die Zuordnung des Angriffs und wird häufig als Indikator für eine Kompromittierung (IoC) verwendet.

Lösegeldforderung und Kommunikation

AKIRA hinterlässt in jedem verschlüsselten Verzeichnis eine Lösegeldforderung, die häufig folgenden Namen trägt:

README.txt oder AKIRA_README.txt

Der Inhalt ist relativ nüchtern und lautet:

  • Der Inhalt ist relativ nüchtern und umfasst: die Bestätigung des Datendiebstahls und der Datenverschlüsselung,
  • eine ausdrückliche Drohung mit der Veröffentlichung auf der Leak-Website der Gruppe,
  • eine Aufforderung, die Betreiber über eine spezielle Tor-Website zu kontaktieren

Le ton se veut « professionnel » et non insultant, AKIRA cherchant à instaurer une relation de négociation plutôt qu’une intimidation brute.

Lösegeldbeträge

Die von AKIRA geforderten Beträge variieren stark je nach Größe des Opfers:

  • KMU : von 50 000 bis 300 000 €
  • Midcap unternehmen und Großkunden : mehrere Millionen Euro
  • Geforderte Zahlungsmittel : Bitcoin (hauptsächlich)

Auswirkungen auf die Datenwiederherstellung

AKIRA-Angriffe stellen die Datenwiederherstellung vor große Herausforderungen:

  • Snapshots Löschung
  • Backups Verschlüsselung
  • NAS Löschung und Reinit

Die Wiederherstellung basiert dann auf Offline-Backups, beschädigten Kopien oder teilweisen Rekonstruktionen, was fortgeschrittenes Fachwissen erfordert.

Pourquoi choisir Recoveo pour récupérer vos données

SCANX est un ensemble d’outils propriétaires
Expérience : 25 ans, 25 personnes, depuis 20219 dans le ransomware
Vision globale monde et remote

Confidentialité garantie
Toutes saturations et environnement (lien interne vers les pages)
Serveurs, tout hyperviseurs, toutes vms, backup…

Unser Wiederherstellungsprozess

1. Kontakt & Qualifizierungsanruf

Sofortige Bearbeitung über einen technischen Anruf. Wir qualifizieren den Vorfall, um die für Ihre kritische Situation geeigneten Notfallressourcen zu aktivieren.

2. Erweiterte Diagnose

Sicheres Klonen, Sample Analyse und Integrität-Bewärtung der Volumes, um die technische Machbarkeit und die wiederherstellbare Qualität zu bestimmen.

3. Klarer Kostenvoranschlag

Erstellung eines transparenten und detaillierten Angebots auf der Grundlage der Diagnoseergebnisse, ohne versteckte Kosten und ohne vorherige Verpflichtung.

4. Wiederherstellung

Durchführung der Wiederherstellungs- und Reparaturarbeiten an den beschädigten Dateien durch unsere erfahrenen Techniker in unserem gesicherten Labor..

5. Liste & Bestätigung

Überprüfung der Datenintegrität anhand einer genauen Auflistung. Die Rechnungsstellung erfolgt nur, wenn Ihre prioritären Dateien funktionsfähig sind.

6. Sichere Rücksendung

Übertragung der wiederhergestellten Daten auf einen neuen, fehlerfreien Datenträger oder über einen sicheren Link, je nach Umfang und Ihren Sicherheitsanforderungen.

Mobilisierung unserer Notfalzelle

Sofort-Hilfe erhalten

Zeit ist kostbar, wir antworten Ihnen innerhalb von 30 Minuten.

Ein spezialisierter Service von Recoveo, dem französischen Marktführer im Bereich Datenwiederherstellung seit 2001.

Rufen Sie uns
Whatsapp

FAQ

Vos questions fréquentes

Tout ce que vous devez savoir sur les services de récupération de données de base de données.