Avastが無料でランサムウェア「DoNex」とその亜種の復号ツールを配布

以前にもランサムウェア「BianLian」の無料復号ツールをリリースしたことがあるセキュリティ企業のAvastが、新しく「DoNex」というランサムウェアとその亜種により暗号化されたファイルの復号ツールを公開しました。
Decrypted: DoNex Ransomware and its Predecessors - Avast Threat Labs
https://decoded.avast.io/threatresearch/decrypted-donex-ransomware-and-its-predecessors/
Avast releases free decryptor for DoNex ransomware and past variants
https://www.bleepingcomputer.com/news/security/avast-releases-free-decryptor-for-donex-ransomware-and-past-variants/
Avast releases DoNex ransomware decryptor • The Register
https://www.theregister.com/2024/07/08/avast_secretly_gave_donex_ransomware/
今回Avastによって復号ツールが公開された「DoNext」は、2022年4月から使われるようになったランサムウェア「Muse」が前身です。その後、Museは2022年11月に「LockBit 3.0」という別のランサムウェアになりすました後、2023年に「DarkRace」へと改称し、2024年にDoNextと名乗るようになりました。
DoNexは標的型攻撃を手口としており、アメリカやイタリア、ベルギーを中心とした国々に被害をもたらしてきたとのこと。また、サイバー犯罪の多くはロシアをターゲットにすることを避ける傾向がありますが、ランサムウェアとしては珍しくDoNexはロシアや中国などでも被害が確認されています。
DoNexに感染すると、以下のような身代金要求メッセージが表示されます。

このランサムウェア対策に取り組んでいたAvastは、2024年3月から法執行機関を通じて秘密裏に被害者に復号ツールを提供してきました。セキュリティ企業がひそかに復号ツールを配布するのは一般的なことで、これにはサイバー犯罪者が自分のランサムウェアにどんな欠陥があるのか学習し改良するのを防ぐ狙いがあります。
しかし、DoNextの欠陥は2024年6月に開催されたセキュリティカンファレンス「Recon 2024」で広く公開され、DoNextが運営していたダークウェブのページも閉鎖されてしまったためもはや脅威ではなくなったとして、Avastは今回復号ツールの公開に踏み切りました。
復号ツールをインストールするには、まずAvastの公開ページからリンクされている実行ファイル「「avast_decryptor_donex.exe」をダウンロードし、任意の場所に保存します。
保存したら、実行ファイルを開きます。なお、Avastは管理者として実行することを推奨しています。

ツールが起動したら「Next」をクリックします。

続いて、復号するフォルダやディレクトリを指定しますが、デフォルトですべてのローカルドライブが指定されているようになっています。指定したら「Next」をクリック。

次に、暗号化されたファイルと元の形式のファイルをサンプルとして指定し「Next」をクリックします。できるだけ大きいファイルを指定するといいとのこと。

続いて、パスワードクラッキングプロセスが実行されます。このプロセスには大量のシステムメモリが必要ですが、メモリが十分なら通常1秒で終わるとのこと。

最後に、暗号化されたファイルをバックアップするかどうかにチェックを入れて、「Decrypt」をクリックすると復号されます。バックアップは、復号プロセスに問題があった場合にやり直すためのもので、デフォルトでバックアップする方にチェックが入っています。