La société antivirus Avast a découvert une faiblesse dans le schéma cryptographique de la famille de ransomwares DoNex et a publié un décrypteur afin que les victimes puissent récupérer leurs fichiers gratuitement.

La société affirme qu’elle travaille avec les forces de l’ordre pour fournir en privé le décrypteur aux victimes du ransomware DoNex depuis mars 2024. Les fournisseurs de cybersécurité distribuent généralement des descripteurs de cette manière pour empêcher les acteurs de la menace d’en apprendre davantage sur le bogue et de le corriger.

La faille a été divulguée publiquement lors de la conférence sur la cybersécurité Recon 2024 du mois dernier, Avast a donc décidé de publier le décrypteur.

Décryptage de DoNex
Do Next est un changement de marque de 2024 de Dark Race, qui était à son tour un changement de marque de 2023 du ransomware Muse, publié pour la première fois en avril 2022.

Un échantillon de note de rançon DoNex

La faille découverte par Avast affecte toutes les anciennes variantes de la famille de ransomwares DoNex, y compris une fausse variante de marque Lock bit 3.0 utilisée sous le nom de « Muse » en novembre 2022.

Avast dit que sur la base de sa télémétrie, l’activité récente de DoNe x était concentrée aux États-Unis, en Italie et en Belgique, mais avait une portée mondiale.

Localisation des victimes récentes du ransomware DoNex

Faiblesse de la cryptographie
Lors de l’exécution du ransomware DoNex, une clé de chiffrement est générée à l’aide de la fonction ‘CryptGenRandom ()’, initialisant une clé symétrique ChaCha20 utilisée pour chiffrer les fichiers de la cible.

Après la phase de cryptage des fichiers, la clé ChaCha20 est cryptée à l’aide de RSA-4096 et ajoutée à la fin de chaque fichier.

Avast n’a pas précisé où se situe la faiblesse, elle peut donc concerner la réutilisation des clés, la génération prévisible de clés, un remplissage incorrect ou d’autres problèmes.

Il convient de noter que DoNex utilise un cryptage intermittent pour les fichiers de plus de 1 Mo. Cette tactique augmente la vitesse lors du cryptage des fichiers, mais introduit des faiblesses qui peuvent être exploitées pour restaurer des données cryptées sans payer de rançon.

Le décrypteur d’Avast pour DoNex et les variantes antérieures est disponible à partir d’ici. Il est recommandé aux utilisateurs de choisir la version 64 bits, car l’étape de craquage de mot de passe nécessite beaucoup de mémoire.

L’outil de décryptage doit être exécuté par un utilisateur administrateur, nécessitant une paire de fichiers cryptés et originaux.

Avast conseille aux utilisateurs de fournir le fichier le plus volumineux possible comme fichier « d’exemple », car il déterminera la taille maximale du fichier pouvant être déchiffré à l’aide de l’outil.

Fichiers volumineux utilisés pour la paire d’exemples

Assurez-vous de sauvegarder vos fichiers cryptés avant de tenter le décryptage à l’aide de l’outil, car il y a toujours la possibilité que quelque chose se passe mal et corrompt ces fichiers au-delà de la récupération.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *