Avast выпустила дешифратор для DoNex, Muse, DarkRace и клона LockBit 3.0

Уязвимость в криптографическом механизме, который используется программа-вымогатель DoNex и её предшественники — Muse, фейковый LockBit 3.0 и DarkRace, позволила исследователям создать дешифратор для всех вариантов вредоносного ПО.

DoNex ransomware — это ребрендинг DarkRace 2024 года, который, в свою очередь, был ребрендингом вируса-вымогателя Muse 2023 года, впервые разработанного в апреле 2022 года.

DoNex реализует прерывистое шифрование для файлов размером более 1 МБ.

С помощью функции CryptGenRandom() генерируется ключ шифрования, который инициализирует симметричный ключ ChaCha20, используемый для шифрования файлов жертвы, после чего ключ ChaCha20 шифруется с помощью RSA-4096 и добавляется в конец каждого файла.

Такая тактика увеличивает скорость шифрования файлов, но допускает ошибки, которые можно использовать для восстановления зашифрованных данных без выплаты выкупа.

При этом Avast не уточнила конкретно, в чем заключается уязвимость. Вероятно, может быть связана с повторным использованием ключей, предсказуемой генерацией ключей, неправильным заполнением или другими проблемами.

По данным Avast, в последнее время DoNex была нацелен на компании в США, Италии и Бельгии, но в целом имела более широкий географический охват, включая и Россию.

Уязвимость в криптографической схеме программы-вымогателя при этом была найдена еще в марте 2024 года, но не придавалась огласке.

Компания оказывала помощь жертвам по восстановлению зашифрованных данных в частном порядке.

После того, как она была публично раскрыта на конференции Recon 2024 в прошлом месяце, Avast решила выпустить дешифратор.

Пользователям рекомендуется выбирать 64-битную версию, так как этап взлома пароля требует большого объема памяти.

Avast рекомендует пользователям предоставить в качестве образца файл максимально возможного размера и обязательно создать перед этим резервную копию зашифрованных файлов.

Письмо операторов с требованиями выкупа не отличается оригинальностью. Киберпреступники уточняют, что не являются политически активной группой — их интересуют только деньги.   Зашифрованные DoNex файлы получают уникальное расширение, в котором учитывается идентификатор жертвы. Текстовый файл с требованиями называется Readme.victimIDnumber.txt.

Скачать разработанный специалистами Avast дешифратор можно по этой ссылке (EXE).

Чтобы воспользоваться инструментом, придётся предоставить ему список всех дисков, директорий и файлов, пострадавших от DoNex, а также «чистую» копию одного из зашифрованных файлов.


С заботой о вашей безопасности, команда Origin Security

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *