Decifrar o Ransomware AKIRA
Você tem uma nota de resgate: AKIRA_README.txt
Os seus ficheiros estão inacessíveis devido ao ransomware Akira? Eles foram renomeados para. akira? Nós temos as ferramentas para decifrar-los.
Apresentação
O AKIRA surgiu publicamente no início de 2023, sucedendo indiretamente a vários grupos dissolvidos ou desmantelados. Muitos analistas acreditam que os seus membros provêm de antigos coletivos como Conti, Hive ou LockBit, o que explicaria a maturidade imediata das suas ferramentas e dos seus métodos. Em 2025, continua a ser um dos grupos mais ativos observados pelas equipas de resposta a incidentes e de recuperação de dados.
O grupo funciona com um modelo de Ransomware-as-a-Service (RaaS), com um núcleo central responsável pelo desenvolvimento do encriptador e pela comunicação, e afiliados encarregados das intrusões e da implantação. Esta organização permite-lhe aumentar rapidamente a capacidade operacional e demonstrar uma forte adaptabilidade.
Número de vítimas e setores atingidos
Desde o seu surgimento, o AKIRA reivindica várias centenas de vítimas, com uma atividade intensa na Europa, América do Norte e Ásia-Pacífico. Os setores mais afetados são:
- Indústria e manufatura
- Logística e transportes
- Serviços profissionais
- Saúde e educação
- PME e empresas de médio porte com infraestruturas híbridas
Ao contrário de alguns grupos oportunistas, o AKIRA privilegia alvos que possuem dados críticos e uma forte dependência operacional, maximizando assim a pressão durante a negociação
Velocidade e estratégia de encriptação
Um dos principais pontos fortes do ransomware AKIRA é a sua elevada velocidade de encriptação.
As análises de campo mostram que:
- a encriptação pode começar poucos minutos após a obtenção do acesso de administrador
- servidores de ficheiros, máquinas virtuais e NAS são alvo prioritário,
- as cópias de segurança conectadas são sistematicamente eliminadas ou encriptadas.
O AKIRA adapta a sua implantação ao ambiente: execução manual, scripts automatizados ou utilização de ferramentas nativas (Living off the Land). Esta abordagem reduz a deteção pelos EDR e acelera a compromissão global
Les 4 principaux concurrents d’Akira
Algoritmos de encriptação utilizados
O AKIRA utiliza um esquema de encriptação híbrido, combinando:
- ChaCha20 para a criptografia rápida de ficheiros
- RSA ou ECC pour la protection des clés de session.
As implementações observadas são robustas, sem vulnerabilidades criptográficas conhecidas até ao momento. Na prática, isto significa que, na ausência de cópias de segurança utilizáveis, a desencriptação sem a chave fornecida pelo grupo é praticamente impossível.
O ransomware também tem o cuidado de não encriptar certos ficheiros de sistema, de modo a evitar um crash imediato e permitir que a vítima leia a nota de resgate.
Algoritmos de encriptação utilizados
Após a conclusão da criptografia, os arquivos afetados são renomeados com uma extensão específica, geralmente:
Em algumas variantes, a extensão pode incluir um identificador específico da vítima ou da afiliada. Essa assinatura facilita a atribuição do ataque e é frequentemente usada como um indicador de comprometimento (IoC).
Bilhete de resgate e comunicação
AKIRA deixa um bilhete de resgate em cada diretório criptografado, geralmente com o nome: AKIRA deixa um bilhete de resgate em cada diretório criptografado, geralmente com o nome:
O conteúdo é relativamente simples, com:
- a confirmação do roubo e da encriptação dos dados
- uma ameaça explícita de publicação no site de vazamento do grupo,
- um convite para contactar os operadores através de um site Tor dedicado.
O tom pretende ser “profissional” e não insultuoso, já que o AKIRA procura instaurar uma relação de negociação em vez de recorrer a intimidação direta.
Valores de resgate
Os valores exigidos pela AKIRA variam muito dependendo do porte físico da vítima:
- PME : desde 50 000 até 300 000 €
- Empresas de médio porte / grandes clientes: vários milhões de euros
- Moeda necessária: Bitcoin (principalmente)
Impacto na recuperação de dados
Os ataques AKIRA representam desafios significativos para a recuperação de dados:
- Apagar os snapshots,
- Criptografia das cópias de segurança
- Apagar ou reiniciar os NAS
A recuperação depende então de cópias de segurança offline, cópias degradadas ou reconstruções parciais, o que requer conhecimentos especializados avançados.
Pourquoi choisir Recoveo pour récupérer vos données
SCANX est un ensemble d’outils propriétaires
Expérience : 25 ans, 25 personnes, depuis 20219 dans le ransomware
Vision globale monde et remote
Confidentialité garantie
Toutes saturations et environnement (lien interne vers les pages)
Serveurs, tout hyperviseurs, toutes vms, backup…
O nosso processo de recuperação
Atendimento imediato através de uma chamada técnica. Qualificamos o incidente para acionar os recursos de emergência adequados à sua situação crítica
Clonagem segura, análise de amostras e avaliação da integridade dos volumes para determinar a viabilidade técnica e a qualidade recuperável.
Entrega de uma proposta comercial transparente e detalhada, baseada nos resultados do diagnóstico, sem custos ocultos nem compromisso prévio.
Execução dos trabalhos de reconstrução e reparação dos ficheiros danificados pelos nossos engenheiros especialistas no nosso laboratório seguro.
Verificação da integridade dos dados através de uma listagem precisa. A faturação só é acionada se os seus ficheiros prioritários estiverem funcionais.
Transferência dos dados recuperados para um suporte novo e em bom estado ou através de uma ligação segura, dependendo do volume e das suas restrições de segurança.
FAQ
Vos questions fréquentes
Tout ce que vous devez savoir sur les services de récupération de données de base de données.