Key

アンチウイルス会社のアバストは、DoNex ランサムウェアファミリーの暗号スキームの弱点を発見し、被害者が無料でファイルを復元できるように復号化ツールをリリースした。

同社によると、2024年3月以来、法執行機関と協力し、DoNex ランサムウェアの被害者に復号化ツールを非公開で提供しているとのことです。サイバーセキュリティ・ベンダーは、脅威の主体がバグを知り、修正するのを防ぐために、一般的にこの方法で復号化ツールを配布している。

この欠陥は先月のRecon 2024 サイバーセキュリティカンファレンスで公開されたため、Avast は復号化ツールを公開することにしました。

DoNexの復号化

DoNextはDarkRaceの2024年のリブランドであり、DarkRaceは2022年4月に初めてリリースされたMuseランサムウェアの2023年のリブランドでした。

A DoNex ransom note sample
DoNex ランサムメモのサンプル
ソースはこちら:アバスト

Avastが発見した欠陥は、2022年11月に「Muse」の名前で使用された偽のLockbit 3.0ブランドの亜種を含む、過去のDoNexランサムウェアファミリーの亜種すべてに影響を与える。

Avastによると、遠隔測定に基づき、DoNexの最近の活動は米国、イタリア、ベルギーに集中していたが、世界中に及んでいたという。

Location of recent DoNex ransomware victims
最近の DoNex ランサムウェア被害者の所在地
出典:アバスト

暗号技術の弱点

DoNex ランサムウェアの実行中に、「CryptGenRandom()」関数を使用して暗号化キーが生成され、ターゲットのファイルを暗号化するために使用されるChaCha20対称キーが初期化されます。

ファイルの暗号化段階の後、ChaCha20キーはRSA-4096を使用して暗号化され、各ファイルの末尾に付加されます。

Avastは弱点がどこにあるのか詳しく説明していないため、鍵の再利用、予測可能な鍵の生成、不適切なパディング、またはその他の問題に関係している可能性があります。

DoNexが1MB以上のファイルに対して断続的な暗号化を使用していることは注目に値する。この戦術はファイルを暗号化する際の速度を向上させますが、身代金を支払うことなく暗号化されたデータを復元するために利用できる弱点をもたらします。

DoNexと過去の亜種に対応するアバストの復号化ツールはこちらから入手できます。パスワードを解読するステップでは多くのメモリを必要とするため、64ビット版を選択することをお勧めします。

復号化ツールは管理者ユーザーによって実行される必要があり、暗号化されたファイルと元のファイルのペアを必要とします。

アバストでは、ツールを使用して復号化できる最大ファイルサイズを決定するため、可能な限り大きなファイルを「例」のファイルとして提供するようユーザーに助言しています。

Large files used for the example pair
例のペアに使用される大きなファイル
ソースはこちら:アバスト

ツールを使って復号化を試みる前に、暗号化されたファイルを必ずバックアップしてください。