/ Автор: Светлана Антонова | Оставить комментарий
Уязвимость в криптографическом механизме, который используется программа-вымогатель DoNex и её предшественники — Muse, фейковый LockBit 3.0 и DarkRace, позволила исследователям создать дешифратор для всех вариантов вредоносного ПО.
DoNex ransomware — это ребрендинг DarkRace 2024 года, который, в свою очередь, был ребрендингом вируса-вымогателя Muse 2023 года, впервые разработанного в апреле 2022 года.
DoNex реализует прерывистое шифрование для файлов размером более 1 МБ.
С помощью функции CryptGenRandom() генерируется ключ шифрования, который инициализирует симметричный ключ ChaCha20, используемый для шифрования файлов жертвы, после чего ключ ChaCha20 шифруется с помощью RSA-4096 и добавляется в конец каждого файла.
Такая тактика увеличивает скорость шифрования файлов, но допускает ошибки, которые можно использовать для восстановления зашифрованных данных без выплаты выкупа.
При этом Avast не уточнила конкретно, в чем заключается уязвимость. Вероятно, может быть связана с повторным использованием ключей, предсказуемой генерацией ключей, неправильным заполнением или другими проблемами.
По данным Avast, в последнее время DoNex была нацелен на компании в США, Италии и Бельгии, но в целом имела более широкий географический охват, включая и Россию.
Уязвимость в криптографической схеме программы-вымогателя при этом была найдена еще в марте 2024 года, но не придавалась огласке.
Компания оказывала помощь жертвам по восстановлению зашифрованных данных в частном порядке.
После того, как она была публично раскрыта на конференции Recon 2024 в прошлом месяце, Avast решила выпустить дешифратор.
Пользователям рекомендуется выбирать 64-битную версию, так как этап взлома пароля требует большого объема памяти.
Avast рекомендует пользователям предоставить в качестве образца файл максимально возможного размера и обязательно создать перед этим резервную копию зашифрованных файлов.
Письмо операторов с требованиями выкупа не отличается оригинальностью. Киберпреступники уточняют, что не являются политически активной группой — их интересуют только деньги. Зашифрованные DoNex файлы получают уникальное расширение, в котором учитывается идентификатор жертвы. Текстовый файл с требованиями называется Readme.victimIDnumber.txt.
Скачать разработанный специалистами Avast дешифратор можно по этой ссылке (EXE).
Чтобы воспользоваться инструментом, придётся предоставить ему список всех дисков, директорий и файлов, пострадавших от DoNex, а также «чистую» копию одного из зашифрованных файлов.
С заботой о вашей безопасности, команда Origin Security