Araştırmacılar DoNex Fidye Yazılımı Şifre Çözücüsünü Yayımladı


Araştırmacılar, DoNex fidye yazılımının ve tüm varyantlarının ve öncüllerinin kriptografik şemasında kritik bir kusur keşfettiler. O zamandan beri, Mart 2024’ten bu yana etkilenen DoNex kurbanlarına gizlice bir şifre çözücü sağlamak için kolluk kuvvetleriyle iş birliği yapıyorlar.

Kriptografik güvenlik açığı Recon 2024’te kamuoyuyla tartışıldı ve araştırmacıların kusurun ayrıntılarını ve etkilerini resmi olarak açıklamasına yol açtı.

DoNex Fidye Yazılımı İşlemleri

Avast araştırmacıları, DoNex fidye yazılımının başlangıçta Nisan 2022’de Muse olarak tanımlanmasının ardından birkaç kez yeniden markalandırıldığını belirtti. DoNex’in sonraki yinelemeleri, Kasım 2022’de sözde Sahte LockBit 3.0’a, ardından Mayıs 2023’te DarkRace’e ve son olarak Mart 2024’te DoNex’e yeniden markalandırmayı içeriyordu. Nisan 2024’ten bu yana araştırmacılar, daha yeni örneklerin tespit edilmediğini ve fidye yazılımı grubunun resmi TOR adresinin etkin olmadığını, bunun da DoNex’in evrimini ve yeniden markalama girişimlerini durdurmuş olabileceğini düşündürdüğünü belirtti.

DoNex fidye yazılımı karmaşık bir şifreleme süreci kullanır. Yürütülmesi sırasında, bir şifreleme anahtarı aşağıdakiler kullanılarak üretilir: CryptGenRandom işlevi. Bu anahtar bir ÇaÇa20 Daha sonra dosyaları şifrelemek için kullanılan simetrik anahtar.

Şifrelemeden sonra, simetrik anahtar RSA-4096 ile şifrelenir ve etkilenen dosyaya eklenir. 1 MB’a kadar olan dosyalar için, tüm dosya şifrelenirken, daha büyük dosyalar bloklar halinde şifrelenir. Fidye yazılımının yapılandırması, beyaz listeye alınmış uzantılar, dosyalar ve sonlandırılacak hizmetler hakkındaki ayrıntılarla birlikte, XOR şifreli bir yapılandırma dosyasında saklanır.

Araştırmacılar şifre çözme işlemini nasıl gerçekleştirdikleri konusunda ayrıntılı bilgi vermese de, aynı kriptografik güvenlik açığıyla ilgili daha fazla ayrıntı, “Kriptografi zordur: DoNex fidye yazılımını kırmak” başlıklı Recon 2024 etkinliğindeki konuşmayla ilgili dosyalardan edinilebilir. Konuşmaya, Hollanda Ulusal Polisi için çalışan bir kötü amaçlı yazılım tersine mühendisi ve siber tehdit istihbarat analisti olan Gijs Rijnders ev sahipliği yaptı.

DoNex Fidye YazılımıDoNex Fidye Yazılımı
Hollanda Ulusal Polisi tarafından kullanılan DoNex şifre çözücü, Avast versiyonundan farklıdır. (Kaynak: cfp.recon.cx)

DoNex, odaklanmış saldırılar kullanarak öncelikle ABD, İtalya ve Belçika’daki kurbanları hedef aldı. Araştırmacılar, DoNex fidye yazılımının tüm varyantlarının ve önceki sürümlerinin, yayınlanan DoNex şifre çözücüsü kullanılarak şifresinin çözülebileceğini doğruladı.

DoNex Fidye Yazılımı haritası AvastDoNex Fidye Yazılımı haritası Avast
(Kaynak: decoded.avast.io)

DoNex Fidye Yazılımını Tanımlama ve Şifre Çözme

DoNex fidye yazılımının kurbanları, kötü amaçlı yazılımın bıraktığı fidye notundan bir saldırıyı tanıyabilir. DoNex’in farklı varyantları (Fake LockBit, DarkRace ve DoNex) farklı fidye notları üretse de, benzer bir düzeni paylaşırlar.

DoNex Fidye Yazılımı AvastDoNex Fidye Yazılımı Avast
DoNex şifre çözücünün Avast versiyonu (Kaynak: decoded.avast.io)

Araştırmacılar, şifrelenmiş dosyalara karşı şifre çözücülerinin nasıl kullanılacağına dair talimatları paylaştılar:

  1. Sağlanan şifre çözücüyü indirin. (Araştırmacılar, bellek gereksinimleri nedeniyle programın 64 bit sürümünün çalıştırılmasını öneriyor.)
  2. Şifre çözücünün yürütülebilir dosyasını bir yönetici olarak çalıştırın. Program bir sihirbaz olarak çalışmalı ve şifre çözme sürecinde size otomatik olarak rehberlik etmelidir.
  3. Program varsayılan olarak tüm yerel sürücüleri listelerken, kullanıcıdan şifresinin çözülmesi amaçlanan olası konumların bir listesini sağlaması istenir.
  4. Daha sonra kullanıcılardan şifrelenmiş bir dosya (DoNex’in herhangi bir çeşidinden) ve şifrelemeden önce orijinal dosyanın bir kopyasını sağlamaları istenir. Araştırmacılar bu işlem için mümkün olan en büyük dosya çiftini seçmenin önemini vurgular.
  5. Sihirbazın bir sonraki işlemi şifre kırma sürecini başlatacaktır. Araştırmacılar, bu kırma sürecinin yalnızca bir saniye sürdüğünü ancak çok büyük miktarda bellek gerektireceğini belirtiyorlar. Adım tamamlandıktan sonra kullanıcılar, tüm sistemlerindeki tüm dosyalar için şifre çözme sürecine başlamaya hazır olabilirler.
  6. Son adımda kullanıcılar, şifre çözme işlemi sırasında başarısızlık durumunda yardımcı olabilecek şekilde sistemlerindeki şifrelenmiş dosyaları yedeklemeyi seçebilirler. Araştırmacılar, seçeneğin varsayılan olarak ayarlandığını belirtti.
  7. Kullanıcılar, sistemlerindeki tüm DoNex şifreli dosyalarının şifresini çözmek için programı çalıştırabilirler.

Araştırmacılar ayrıca, fidye yazılımının FakeLockBit 3.0, Dark Race ve DoNex varyantlarına ait Tehlike Göstergelerini (IOC) de paylaştılar.



Source link