Araştırmacılar DoNex Fidye Yazılımını ve Yeniden Markalanmış Sürümlerini Çözdüler


Araştırmacılar DoNex Fidye Yazılımını ve Yeniden Markalanmış Sürümlerini Çözdüler

Araştırmacılar, DoNex fidye yazılımının şifreleme şemasında bir açık keşfettiler ve bu açık sayesinde DoNex ve öncülleri (Muse, sahte LockBit 3.0, DarkRace) için bir şifre çözücü oluşturmayı başardılar.

Şifre çözücü, kolluk kuvvetleriyle işbirliği içinde Mart 2024’ten bu yana gizlice mağdurlara sağlanıyor ve Temmuz 2024’te kamuoyuna açıklandığında gizli şifre çözme çabasına gerek kalmıyor.

DÖRT

Nisan 2022’den bu yana bir dizi yeniden markalamadan ortaya çıkan DoNex, Nisan 2024 itibarıyla faaliyetlerini durdurmuş gibi görünüyor. Şifre çözücü tüm DoNex varyantları için çalışıyor ve öncelikli olarak ABD, İtalya ve Belçika’daki kurbanları hedefliyor.

DoNex engellenen saldırılar

Fidye yazılımı, dosya şifrelemesinde kullanılan ChaCha20 simetrik şifresini başlatmak için bir anahtar üretmek amacıyla CryptGenRandom()’dan yararlanır ve bu anahtara karşılık gelen RSA-4096 şifrelenmiş simetrik anahtar eklenir.

Ücretsiz web seminerimize katılarak şu konularda bilgi edinin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.

Dosya hedeflemesi, bir XML yapılandırma dosyasında tanımlanan uzantılara dayanmaktadır; küçük dosyalar için tüm dosya şifrelemesi kullanılır ve daha büyük dosyalar (>1 MB) için, dosyanın bölündüğü ve her bloğun bağımsız olarak şifrelendiği aralıklı şifreleme uygulanır.

DoNex fidye yazılımı, enfekte olmuş makinede bırakılan bir fidye notunun varlığıyla tespit edilebiliyor. Bu notta genellikle kurbana verilerinin şifrelendiği ve fidye ödenmezse sızdırılacağı bildiriliyor ve ayrıca karanlık web’deki bir ödeme portalına nasıl erişileceğine dair talimatlar da yer alıyor.

Fidye Yazılımı Yapılandırması

Fake LockBit ve DarkRace gibi diğer fidye yazılımı ailelerinin de benzer fidye notu düzenleri kullandığını ve kesin tanımlama için ek kontrollerin gerekli olabileceğini unutmayın.

Avast’ın DoNex fidye yazılımına yönelik yaptığı analiz, şifreleme süreci için kritik ayarları içeren XOR ile şifrelenmiş yapılandırma dosyalarını ortaya çıkardı. Bu ayarlar arasında, beyaz listeye alınmış uzantılar ve şifrelemeden hariç tutulacak belirli verileri belirten dosyalar yer alıyor.

Yapılandırma, saldırı sırasında sonlandırılacak hizmetleri belirtir ve DoNex fidye yazılımının kurban sistemleri nasıl hedef aldığı ve şifrelediği konusunda hayati bir rol oynayarak sistem çalışmasını veya veri kurtarma girişimlerini potansiyel olarak engelleyebilir.

Sahte LockBit fidye notunun ekran görüntüsü

DoNex fidye yazılımı şifre çözücü, kullanıcıları şifrelenmiş dosyaları kurtarmada yönlendiren sihirbaz tabanlı bir araçtır. Kullanıcılar programı başlattıktan sonra şifre çözme için konumlar belirler ve şifrelenmiş karşılığıyla eşleştirilmiş orijinal bir dosya sağlar.

Daha sonra araç, büyük olasılıkla kaba kuvvet kullanarak, önemli miktarda sistem belleğini kullanarak şifreyi kırmaya çalışır.

Parola belirlendikten sonra kullanıcılar tüm dosyaların şifresini çözme işlemini başlatabilir ve şifre çözme işlemi başlarken güvenlik için şifrelenmiş verilerin yedeklerini oluşturabilir ve etkilenen dosyaları geri yükleyebilir.

"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo



Source link