شرکت Avast یک ابزار رمزگشایی رایگان برای باج‌افزار DoNex منتشر کرد.

شرکت آنتی‌ویروس Avast یک ضعف در طرح رمزنگاری خانواده باج‌افزار DoNex کشف کرده و یک ابزار رمزگشایی منتشر کرده است تا قربانیان بتوانند فایل‌های خود را به‌طور رایگان بازیابی کنند.

شرکت (Avast) می‌گوید که از مارس ۲۰۲۴ با نیروی انتظامی همکاری کرده است تا ابزار رمزگشایی را به‌طور خصوصی به قربانیان باج‌افزار DoNex ارائه دهد. ارائه‌دهندگان امنیت سایبری معمولاً ابزارهای رمزگشایی را به این روش توزیع می‌کنند تا مهاجمان نتوانند از وجود نقص مطلع شوند و آن را برطرف کنند.

این نقص به طور عمومی در کنفرانس امنیت سایبری Recon 2024 در ماه گذشته فاش شد، بنابراین Avast تصمیم گرفته است decryptor را منتشر کند.

رمزگشایی DoNex

DoNext در سال ۲۰۲۴ به عنوان یک نام جدید برای DarkRace معرفی شد. DarkRace نیز خود در سال ۲۰۲۳ با تغییر نام از باج‌افزار Muse که اولین بار در آوریل ۲۰۲۲ منتشر شده بود، به وجود آمده بود.

نقصی که توسط Avast کشف شد، همه نسخه های قبلی خانواده باج‌افزار DoNex، از جمله یک نوع جعلی با مارک Lockbit 3.0 را تحت تأثیر قرار می‌دهد که تحت نام  Muse در نوامبر ۲۰۲۲ استفاده شد.

Avast می‌گوید که بر اساس داده‌های جمع‌آوری‌شده از نظارت خود، فعالیت‌های اخیر باج‌افزار DoNex بیشتر در ایالات متحده، ایتالیا و بلژیک متمرکز بوده است، اما در سطح جهانی نیز گسترش یافته است.

ضعف در رمزنگاری

در طول اجرای باج‌افزار DoNex، یک کلید رمزگذاری با استفاده از تابع CryptGenRandom() تولید می‌شود که یک کلید متقارن ChaCha20 را که برای رمزگذاری فایل‌های هدف استفاده می‌شود، مقداردهی می‌کند.

پس از مرحله رمزگذاری فایل، کلید ChaCha20 با استفاده از RSA-4096 رمزگذاری شده و به انتهای هر فایل اضافه می شود.

Avast توضیح نداده است که ضعف دقیقاً در کجا قرار دارد، بنابراین ممکن است مربوط به استفاده مجدد از کلید، تولید کلید قابل پیش‌بینی، پدینگ نادرست یا مشکلات دیگر باشد.

همچنین DoNex از رمزگذاری متناوب برای فایل های بزرگتر از ۱ مگابایت استفاده می کند. این تاکتیک سرعت رمزگذاری فایل ها را افزایش می دهد اما ضعفی که دارد این است که که می توان از آنها برای بازیابی داده های رمزگذاری شده بدون پرداخت باج استفاده کرد.

ابزار رمزگشای Avast برای DoNex و نسخه‌های قبلی آن از اینجا قابل دریافت است. به کاربران توصیه می‌شود نسخه ۶۴ بیتی را انتخاب کنند، زیرا مرحله شکستن رمز عبور به حافظه زیادی نیاز دارد.

این decryptor باید توسط یک کاربر با دسترسی مدیر (admin) اجرا شود و نیاز به یک جفت فایل رمزگذاری شده و فایل اصلی (غیر رمزگذاری شده) دارد.

Avast  به کاربران توصیه می‌کند بزرگترین فایل ممکن را به عنوان فایل نمونه ارائه دهند، زیرا این فایل اندازه حداکثری فایلی را که می‌توان با استفاده از ابزار مربوطه رمزگشایی کرد، تعیین خواهد کرد.

به بیان دیگر، وقتی کاربران یک فایل نمونه بزرگتر را ارائه می‌دهند، ابزار می‌تواند اندازه فایل‌هایی که قابلیت رمزگشایی دارند را بهتر تشخیص دهد و ممکن است قادر به رمزگشایی فایل‌های بزرگتری باشد.

مطمئن شوید که قبل از تلاش برای رمزگشایی با استفاده از ابزار، از فایل‌های رمزگذاری شده خود پشتیبان تهیه کرده اید، زیرا همیشه احتمال دارد که مشکلی پیش بیاید و آن فایل‌ها به شکلی خراب شوند که دیگر قابل بازیابی نباشند.