09/09/24
Оба файла сохданы с использованием MSVC и не содержат методов прикрытия. После запуска на устройстве жертвы происходит шифрование ценных файлов с изменением расширения на .akira. В каждой папке, где произошло шифрование, создаётся файл akira_readme.txt с требованием выкупа. Текст этого файла одинаков для всех версий программы, за исключением уникального кода для входа в переговоры с атакующими. Об этом пишет Securitylab.
Программа использует мощный 4.096-битный ключ шифрования, который в меньших по размеру файлах представлен в формате base64, а в больших — в виде двоичного фрагмента. До начала шифрования файлов Akira пытается удалить снимки теневого копирования на устройстве, запуская процесс PowerShell через WMI. Команда для удаления теневых копий является статической, что упрощает её обнаружение.
Программа также использует API Restart Manager, что позволяет закрывать файлы, которые в данный момент заняты другими приложениями. Это API даёт возможность отключать процессы, блокирующие доступ к файлам, что помогает вымогателю продолжить работу. Важно отметить, что Akira не завершает сеансы API, что позволяет сохранять записи в реестре, предоставляя ценные данные для последующего анализа.
Интересной деталью является создание и удаление временных файлов с расширением .arika, что, вероятно, является ошибкой, допущенной разработчиками программы. Эти файлы могут представлять собой промежуточные данные, связанные с процессом шифрования, хотя их точное назначение требует дальнейших исследований.
