A empresa de antivírus Avast lançou um descriptografador para o ransomware DoNex e para que as vítimas possam recuperar seus arquivos gratuitamente. A empresa descobriu uma fraqueza no esquema criptográfico da família do ransomware, que possibilitou o desenvolvimento do descriptografador.
Descriptografador da Avast para o ransomware DoNex
A Avast diz que tem trabalhado com as autoridades policiais para fornecer privadamente o descriptografador às vítimas do ransomware DoNex desde março de 2024. Os fornecedores de segurança cibernética geralmente distribuem descriptografadores dessa maneira para evitar que os agentes da ameaça descubram o bug e o consertem.
A falha foi divulgada publicamente na conferência de segurança cibernética Recon 2024 do mês passado, então a Avast decidiu lançar o descriptografador. DoNext é uma reformulação de 2024 do DarkRace, que, por sua vez, foi uma reformulação de 2023 do ransomware Muse, lançado pela primeira vez em abril de 2022.
A falha descoberta pela Avast afeta todas as variantes anteriores da família de ransomware DoNex, incluindo uma variante falsa da marca Lockbit 3.0 usada sob o nome ‘Muse’ em novembro de 2022. Segundo a empresa, com base em sua telemetria, a atividade recente da DoNex se concentrou nos Estados Unidos, Itália e Bélgica, mas teve alcance mundial.
Fraqueza na criptografia
Durante a execução do ransomware DoNex, uma chave de criptografia é gerada usando a função ‘CryptGenRandom()’, inicializando uma chave simétrica ChaCha20 usada para criptografar os arquivos do alvo. Após a fase de criptografia do arquivo, a chave ChaCha20 é criptografada usando RSA-4096 e anexada ao final de cada arquivo.
A Avast não elaborou onde está a fraqueza, então pode estar relacionada à reutilização de chaves, geração previsível de chaves, preenchimento inadequado ou outros problemas. Vale a pena notar que o DoNex usa criptografia intermitente para arquivos maiores que 1 MB. Essa tática aumenta a velocidade ao criptografar arquivos, mas introduz fraquezas que podem ser aproveitadas para restaurar dados criptografados sem pagar um resgate.
O descriptografador da Avast para DoNex e variantes passadas está disponível aqui. É recomendado que os usuários escolham a versão de 64 bits, pois a etapa de quebra de senha requer muita memória.
A ferramenta de descriptografia precisa ser executada por um usuário administrador, exigindo um par de arquivos criptografados e originais. O Avast aconselha os usuários a fornecerem o maior arquivo possível como um arquivo “exemplo”, pois isso determinará o tamanho máximo do arquivo que pode ser descriptografado usando a ferramenta.
Certifique-se de fazer backup dos seus arquivos criptografados antes de tentar descriptografá-los usando a ferramenta, pois sempre há a possibilidade de algo dar errado e corromper os arquivos de forma irrecuperável, lembra o Bleeping Computer.