Perusahaan antivirus Avast telah menemukan kelemahan dalam skema kriptografi keluarga ransomware DoNex dan merilis dekripsi sehingga korban dapat memulihkan file mereka secara gratis.
Itu perusahaan mengatakan telah bekerja sama dengan penegak hukum untuk menyediakan dekripsi secara pribadi kepada korban ransomware DoNex sejak Maret 2024. Vendor keamanan siber umumnya mendistribusikan dekripsi dengan cara ini untuk mencegah pelaku kejahatan mengetahui bug tersebut dan memperbaikinya.
Cacat tersebut diungkapkan ke publik pada bulan lalu Konferensi keamanan siber Recon 2024jadi Avast memutuskan untuk merilis dekripsi.
Mendekripsi DoNex
DoNext merupakan pembaruan merek DarkRace pada tahun 2024, yang pada gilirannya merupakan pembaruan merek ransomware Muse pada tahun 2023, yang pertama kali dirilis pada bulan April 2022.
Sumber: Avast
Cacat yang ditemukan Avast memengaruhi semua varian keluarga ransomware DoNex sebelumnya, termasuk varian palsu bermerek Lockbit 3.0 yang digunakan dengan nama ‘Muse’ pada November 2022.
Avast mengatakan bahwa berdasarkan telemetrinya, aktivitas terkini DoNex terkonsentrasi di Amerika Serikat, Italia, dan Belgia tetapi jangkauannya menjangkau seluruh dunia.
Sumber: Avast
Kelemahan dalam kriptografi
Selama eksekusi ransomware DoNex, kunci enkripsi dibuat menggunakan fungsi ‘CryptGenRandom()’, yang menginisialisasi kunci simetris ChaCha20 yang digunakan untuk mengenkripsi file target.
Setelah fase enkripsi file, kunci ChaCha20 dienkripsi menggunakan RSA-4096 dan ditambahkan ke akhir setiap file.
Avast belum menjelaskan secara rinci di mana letak kelemahannya, jadi mungkin menyangkut penggunaan kunci yang sama, pembuatan kunci yang dapat diprediksi, bantalan yang tidak tepat, atau masalah lainnya.
Perlu dicatat bahwa DoNex menggunakan enkripsi terputus-putus untuk file yang lebih besar dari 1MB. Taktik ini meningkatkan kecepatan saat mengenkripsi file tetapi memperkenalkan kelemahan yang dapat dimanfaatkan untuk memulihkan data terenkripsi tanpa membayar tebusan.
Dekripsi Avast untuk DoNex dan varian sebelumnya tersedia dari siniPengguna disarankan untuk memilih versi 64-bit, karena langkah memecahkan kata sandi membutuhkan banyak memori.
Alat dekripsi perlu dijalankan oleh pengguna admin, memerlukan sepasang file terenkripsi dan asli.
Avast menyarankan pengguna untuk menyediakan file sebesar mungkin sebagai file “contoh”, karena ini akan menentukan ukuran file maksimum yang dapat didekripsi menggunakan alat tersebut.
Sumber: Avast
Pastikan untuk mencadangkan file terenkripsi Anda sebelum mencoba dekripsi menggunakan alat tersebut, karena selalu ada kemungkinan terjadi kesalahan dan merusak file tersebut hingga tidak dapat dipulihkan.
