Antivirüs şirketi Avast, Donex fidye yazılımı ailesinin kriptografik şemasında bir zayıflık keşfetti ve kurbanların dosyalarını ücretsiz olarak kurtarabilmeleri için bir şifreleme yayınladı.
Şirket, Mart 2024'ten bu yana Doxox fidye yazılımı kurbanlarına şifrelemeyi özel olarak sağlamak için kolluk kuvvetleri ile birlikte çalıştığını söylüyor. Siber güvenlik satıcıları, tehdit aktörlerinin böcekleri öğrenmesini ve düzeltilmesini önlemek için şifrelemeleri genellikle bu şekilde dağıtıyor.
Kusur, geçen ayki Recon 2024 Siber Güvenlik Konferansı'nda kamuya açıklandı, bu yüzden Avast şifrelemeyi serbest bırakmaya karar verdi.
Donext, 2024 Darkrace'in yeniden markasıdır, bu da ilk olarak Nisan 2022'de piyasaya sürülen Muse Fidyeware'in 2023 yeniden markasıdır.
Avast tarafından keşfedilen kusur, Kasım 2022'de 'Muse' adı altında kullanılan sahte bir Lockbit 3.0 markalı varyant da dahil olmak üzere geçmiş tüm Donex fidye yazılımı aile varyantlarını etkiler.
Avast, telemetrisine dayanarak, Donex'in son faaliyetlerinin ABD, İtalya ve Belçika'da yoğunlaştığını, ancak dünya çapında bir erişime sahip olduğunu söylüyor.
Donex fidye yazılımının yürütülmesi sırasında, hedefin dosyalarını şifrelemek için kullanılan bir ChaCha20 simetrik anahtarı başlatarak 'CryptGenRandom ()' işlevi kullanılarak bir şifreleme anahtarı oluşturulur.
Dosya şifreleme aşamasından sonra, Chacha20 tuşu RSA-4096 kullanılarak şifrelenir ve her dosyanın sonuna eklenir.
Avast, zayıflığın nerede olduğu konusunda detaylandırılmamıştır, bu nedenle anahtar yeniden kullanım, öngörülebilir anahtar üretimi, uygunsuz dolgu veya diğer sorunlarla ilgili olabilir.
Donex'in 1MB'den büyük dosyalar için aralıklı şifreleme kullandığını belirtmek gerekir. Bu taktik, dosyaları şifrelerken hızı arttırır, ancak fidye ödemeden şifrelenmiş verileri geri yüklemek için kaldırılabilecek zayıflıklar sunar.
Avast'ın Donex ve geçmiş varyantları için şifreleme buradan ulaşılabilir. Parola çatlama adımı çok fazla bellek gerektirdiğinden, kullanıcıların 64 bit sürümü seçmeleri önerilir.
Düzeltme aracı, bir çift şifreli ve orijinal dosya gerektiren bir yönetici kullanıcısı tarafından yürütülmelidir.
Avast, kullanıcılara, araç kullanılarak şifre çözülebilen maksimum dosya boyutunu belirleyeceği için mümkün olan en büyük dosyayı "örnek" dosyası olarak sunmalarını tavsiye eder.
Araç kullanarak şifre çözme işleminden önce şifreli dosyalarınızı yedeklediğinizden emin olun, çünkü her zaman ters giden bir şey ve bu dosyaları kurtarma ötesinde bozma olasılığı vardır.
Evolve Bank, veri ihlalinin 7.6 milyon Amerikalıyı etkilediğini söylüyor
Yeni Eldorado Fidye Yazılımı Windows, VMware ESXI VMS hedefleri
Proton ücretsiz, gizlilik odaklı Google Dokümanlar Alternatifi
Patelco fidye yazılımı saldırısının ardından bankacılık sistemlerini kapatıyor
Affirm, kart sahiplerinin evolve banka veri ihlalinden etkilendiğini söylüyor
Kaynak: Bleeping Computer