Antivirüs şirketi Avast, DoNex fidye yazılımı ailesinin şifreleme şemasında bir zayıflık keşfetti ve kurbanların dosyalarını ücretsiz olarak kurtarabilmeleri için bir şifre çözücü yayınladı.
Şirket, Mart 2024’ten bu yana şifre çözücüyü DoNex fidye yazılımı mağdurlarına özel olarak sağlamak için kolluk kuvvetleriyle birlikte çalıştığını söylüyor. Siber güvenlik satıcıları, tehdit aktörlerinin hatayı öğrenmesini ve düzeltmesini önlemek için genellikle şifre çözücüleri bu şekilde dağıtıyor.
Söz konusu güvenlik açığı geçen ay düzenlenen Recon 2024 siber güvenlik konferansında kamuoyuna duyurulduğundan Avast, şifre çözücüyü yayınlamaya karar verdi.
DoNex’i Şifreleme
DoNext, DarkRace’in 2024’te yeniden markalanmış halidir; DarkRace ise ilk olarak Nisan 2022’de piyasaya sürülen Muse fidye yazılımının 2023’te yeniden markalanmış halidir.
Kaynak: Avast
Avast’ın keşfettiği güvenlik açığı, Kasım 2022’de ‘Muse’ adı altında kullanılan sahte Lockbit 3.0 markalı varyant da dahil olmak üzere geçmişteki tüm DoNex fidye yazılımı ailesi varyantlarını etkiliyor.
Avast, telemetri verilerine göre DoNex’in son dönemdeki faaliyetlerinin ABD, İtalya ve Belçika’da yoğunlaştığını ancak dünya çapında bir erişime sahip olduğunu söylüyor.
Kaynak: Avast
Kriptografide zayıflık
DoNex fidye yazılımının yürütülmesi sırasında, hedefteki dosyaları şifrelemek için kullanılan ChaCha20 simetrik anahtarını başlatan ‘CryptGenRandom()’ fonksiyonu kullanılarak bir şifreleme anahtarı üretilir.
Dosya şifreleme aşamasından sonra ChaCha20 anahtarı RSA-4096 kullanılarak şifrelenir ve her dosyanın sonuna eklenir.
Avast, zayıflığın nerede yattığı konusunda ayrıntı vermedi; dolayısıyla bu, anahtarların yeniden kullanımı, öngörülebilir anahtar üretimi, uygunsuz dolgu veya diğer sorunlarla ilgili olabilir.
DoNex’in 1MB’den büyük dosyalar için aralıklı şifreleme kullandığını belirtmekte fayda var. Bu taktik, dosyaları şifrelerken hızı artırır ancak fidye ödemeden şifrelenmiş verileri geri yüklemek için kullanılabilecek zayıflıklar sunar.
Avast’ın DoNex ve geçmiş varyantları için şifre çözücüsü buradan edinilebilir. Kullanıcıların 64 bit sürümünü seçmeleri önerilir, çünkü şifre kırma adımı çok fazla bellek gerektirir.
Şifre çözme aracının bir yönetici kullanıcı tarafından çalıştırılması gerekiyor ve bu da şifrelenmiş ve orijinal dosya çifti gerektiriyor.
Avast, kullanıcılarına “örnek” dosya olarak mümkün olan en büyük dosyayı sağlamalarını öneriyor; çünkü bu, aracın kullanılarak şifresi çözülebilecek maksimum dosya boyutunu belirleyecektir.
Kaynak: Avast
Aracı kullanarak şifre çözmeyi denemeden önce şifrelenmiş dosyalarınızın yedeğini aldığınızdan emin olun; çünkü her zaman bir şeylerin ters gitmesi ve bu dosyaların kurtarılamayacak şekilde bozulması olasılığı vardır.