안티바이러스 회사 Avast는 DoNex 랜섬웨어 가족의 암호화 체계에 취약점을 발견하고 이를 복호화할 수 있는 도구를 무료로 공개하였습니다. Avast는 2024년 3월부터 법 집행 기관과 협력하여 DoNex 랜섬웨어 피해자들에게 비공개로 복호화 도구를 제공해 왔습니다. 이러한 방식으로 복호화 도구를 배포하는 것은 위협 요인들이 버그를 알게 되어 이를 수정하는 것을 방지하기 위한 일반적인 방법입니다.
DoNex 랜섬웨어의 실행 중에는 'CryptGenRandom()' 함수를 사용하여 암호화 키가 생성되며, 이는 대상 파일을 암호화하는 데 사용되는 ChaCha20 대칭 키를 초기화합니다. 파일 암호화 단계가 끝나면 ChaCha20 키는 RSA-4096을 사용하여 암호화되고 각 파일의 끝에 추가됩니다. Avast는 취약점이 어디에 있는지에 대해 자세히 설명하지 않았으므로, 키 재사용, 예측 가능한 키 생성, 부적절한 패딩 또는 기타 문제에 관한 것일 수 있습니다.
Avast의 복호화 도구를 사용하는 사용자들은 비밀번호 크래킹 단계에서 많은 메모리가 필요하기 때문에 64비트 버전을 선택하는 것이 좋습니다. 복호화 도구는 관리자 사용자에 의해 실행되어야 하며, 암호화된 파일과 원본 파일의 쌍이 필요합니다. Avast는 사용자들에게 가능한 한 큰 파일을 "예시" 파일로 제공하도록 권장하며, 이는 도구를 사용하여 복호화할 수 있는 최대 파일 크기를 결정합니다.
요약
- Avast는 DoNex 랜섬웨어의 암호화 체계에 취약점을 발견하고 이를 복호화할 수 있는 도구를 무료로 공개하였다.
- DoNex 랜섬웨어는 'CryptGenRandom()' 함수를 사용하여 암호화 키를 생성하며, 이는 대상 파일을 암호화하는 데 사용되는 ChaCha20 대칭 키를 초기화한다.
- Avast의 복호화 도구는 관리자 사용자에 의해 실행되어야 하며, 암호화된 파일과 원본 파일의 쌍이 필요하다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.