Avastが無料でランサムウェア「DoNex」とその亜種の復号ツールを配布

2024年7月9日 12時0分

以前にもランサムウェア「BianLian」の無料復号ツールをリリースしたことがあるセキュリティ企業のAvastが、新しく「DoNex」というランサムウェアとその亜種により暗号化されたファイルの復号ツールを公開しました。

Decrypted: DoNex Ransomware and its Predecessors - Avast Threat Labs

https://decoded.avast.io/threatresearch/decrypted-donex-ransomware-and-its-predecessors/

Avast releases free decryptor for DoNex ransomware and past variants

https://www.bleepingcomputer.com/news/security/avast-releases-free-decryptor-for-donex-ransomware-and-past-variants/

Avast releases DoNex ransomware decryptor • The Register

https://www.theregister.com/2024/07/08/avast_secretly_gave_donex_ransomware/

今回Avastによって復号ツールが公開された「DoNext」は、2022年4月から使われるようになったランサムウェア「Muse」が前身です。その後、Museは2022年11月に「LockBit 3.0」という別のランサムウェアになりすました後、2023年に「DarkRace」へと改称し、2024年にDoNextと名乗るようになりました。

DoNexは標的型攻撃を手口としており、アメリカやイタリア、ベルギーを中心とした国々に被害をもたらしてきたとのこと。また、サイバー犯罪の多くはロシアをターゲットにすることを避ける傾向がありますが、ランサムウェアとしては珍しくDoNexはロシアや中国などでも被害が確認されています。

DoNexに感染すると、以下のような身代金要求メッセージが表示されます。

このランサムウェア対策に取り組んでいたAvastは、2024年3月から法執行機関を通じて秘密裏に被害者に復号ツールを提供してきました。セキュリティ企業がひそかに復号ツールを配布するのは一般的なことで、これにはサイバー犯罪者が自分のランサムウェアにどんな欠陥があるのか学習し改良するのを防ぐ狙いがあります。

しかし、DoNextの欠陥は2024年6月に開催されたセキュリティカンファレンス「Recon 2024」で広く公開され、DoNextが運営していたダークウェブのページも閉鎖されてしまったためもはや脅威ではなくなったとして、Avastは今回復号ツールの公開に踏み切りました。

復号ツールをインストールするには、まずAvastの公開ページからリンクされている実行ファイル「「avast_decryptor_donex.exe」をダウンロードし、任意の場所に保存します。

保存したら、実行ファイルを開きます。なお、Avastは管理者として実行することを推奨しています。