หน้าแรก Security Malware Avast ปล่อยตัวถอดรหัส Ransomware DoNex ให้เหยื่อได้ใช้! รีบโหลดเลย!

Avast ปล่อยตัวถอดรหัส Ransomware DoNex ให้เหยื่อได้ใช้! รีบโหลดเลย!

แบ่งปัน

นักวิจัยของ Avast ได้ให้ตัวถอดรหัสแก่เหยื่อของ ransomware DoNex มาตั้งแต่เดือนมีนาคม หลังจากพบจุดบกพร่องในระบบเข้ารหัสของอาชญากร

พวกเขายังเผยแพร่ตัวถอดรหัสสำหรับให้ทุกคนใช้งานได้ในขณะนี้ เนื่องจากกลุ่มวายร้ายเหล่านี้ดูเหมือนจะไม่ใช่ภัยคุกคามร้ายแรงในด้านความปลอดภัยทางไซเบอร์อีกต่อไป หลังจากเพจเว็บมืดของกลุ่มถูกปิดตัวลงในเดือนเมษายน

ผู้เข้าร่วมประชุมในงาน Recon ที่จัดขึ้นที่แคนาดา เป็นกลุ่มแรกที่ได้รับฟังข่าวสารที่ประกาศต่อสาธารณะ โดย Avast ได้อธิบายสั้นๆ เกี่ยวกับวิธีที่ DoNex เข้ารหัสข้อมูลของเหยื่อ แต่ก็แปลกดีที่ไม่ได้ให้ข้อมูลเชิงลึกเกี่ยวกับจุดบกพร่องในโครงร่างของมัน

Avast อธิบายว่า Ransomware ใช้ “คีย์” นี้เพื่อเริ่มต้นการทำงานของ “ChaCha20” ซึ่งเป็นระบบเข้ารหัสแบบสมมาตร (Symmetric Key) จากนั้นจึงนำไปเข้ารหัสไฟล์ หลังจากเข้ารหัสไฟล์แล้ว “คีย์” สำหรับไฟล์นั้นจะถูกเข้ารหัสอีกครั้งด้วยระบบ “RSA-4096” และแนบไว้ท้ายไฟล์ โดย Ransomware จะเลือกไฟล์ตามนามสกุล โดยรายชื่อนามสกุลจะระบุไว้ในไฟล์คอนฟิก (config) ที่เป็น XML

วิธีการใช้งาน ถอดรหัส DoNex Ransomware
1. ดาวน์โหลดตัวถอดรหัส DoNex Ransomware ได้ที่นี่
2. รันไฟล์ที่ดาวน์โหลดมา ควรรันในฐานะผู้ดูแลระบบ (Administrator) โปรแกรมจะเปิดขึ้นเป็นวิซาร์ด เพื่อแนะนำคุณตลอดขั้นตอนการตั้งค่าการถอดรหัส
3. ที่หน้าแรกจะมีลิงค์ไปยังข้อมูลใบอนุญาต (License) กดปุ่ม “ถัดไป” (Next) เมื่อคุณพร้อมเริ่มต้น
4. ในหน้าถัดไป โปรแกรมจะขอให้ผู้ใช้ระบุตำแหน่ง (ไดรฟ์, โฟลเดอร์, ไฟล์) ที่ต้องการถอดรหัส โดยค่าเริ่มต้น จะแสดงรายการไดรฟ์ทั้งหมดบนคอมพิวเตอร์ของคุณ

5. ในหน้าถัดไป คุณจำเป็นต้องใส่ตัวอย่างไฟล์ 2 ไฟล์ ไฟล์แรกเป็นไฟล์ต้นฉบับที่ยังไม่ถูกเข้ารหัส และอีกไฟล์เป็นไฟล์ที่ถูกเข้ารหัสด้วย DoNex ransomware (ไม่ว่าสายพันธุ์ไหน) กรอกชื่อของทั้งสองไฟล์ลงไป คุณยังสามารถลากและวางไฟล์เหล่านั้นจาก Windows Explorer ลงในหน้าวิซาร์ดได้ สิ่งสำคัญอย่างยิ่ง คือการเลือกไฟล์คู่ที่ใหญ่ที่สุดเท่าที่คุณหาได้ เนื่องจากโปรแกรมถอดรหัสสามารถถอดรหัสไฟล์ได้มากสุดเท่ากับขนาดของไฟล์ที่เข้ารหัสในคู่นั้น

6. หน้าถัดไปเป็นขั้นตอนการค้นหารหัสผ่าน กดปุ่ม “เริ่ม” (Start) เมื่อคุณพร้อมที่จะเริ่มกระบวนการนี้ โดยปกติกระบวนการนี้ใช้เวลาเพียงวินาทีเดียว แต่จะใช้หน่วยความจำของระบบจำนวนมาก ดังนั้นเราจึงแนะนำอย่างยิ่งให้ใช้โปรแกรมถอดรหัสแบบ 64 บิต เมื่อโปรแกรมค้นหารหัสผ่านเจอแล้ว คุณสามารถดำเนินการถอดรหัสไฟล์ที่เข้ารหัสทั้งหมดบนคอมพิวเตอร์ของคุณได้โดยคลิก “ถัดไป” (Next)

7. ในหน้าสุดท้าย คุณสามารถเลือกสำรองข้อมูลไฟล์ที่เข้ารหัสของคุณไว้ ซึ่งการสำรองข้อมูลเหล่านี้อาจเป็นประโยชน์ในกรณีที่เกิดข้อผิดพลาดระหว่างกระบวนการถอดรหัส โดยปกติตัวเลือกนี้จะถูกเลือกไว้เสมอซึ่งเราแนะนำให้เปิดใช้งานไว้ หลังจากคลิก “ถอดรหัส” (Decrypt) กระบวนการถอดรหัสจะเริ่มต้นขึ้น ปล่อยให้โปรแกรมทำงานและรอจนกว่าจะถอดรหัสไฟล์ทั้งหมดของคุณเสร็จสิ้น

อ่านเพิ่มเติมที่นี่ – theregister