Спасение для жертв: код стал ахиллесовой пятой вымогателя DoNex

Специалисты Avast обнаружили уязвимость в криптографической схеме программы-вымогателя DoNex и её предшественников. В связи с этим, исследователи вместе с правоохранительными органами начали тайно предоставлять декриптор жертвам вируса. Открытие уязвимости было оглашено на конференции Recon 2024, после чего информация о декрипторе стала общедоступной.

Программа DoNex прошла через несколько этапов ребрендинга с апреля 2022 года, начиная с первой версии под названием Muse. После нескольких изменений последняя версия была названа DoNex. С апреля 2024 года разработка вируса прекратилась, и новые образцы не обнаруживались, что свидетельствует о затухании программы-вымогателя.

DoNex активно атаковал своих жертв, особенно в США, Италии и Нидерландах. Программа использует метод целевых атак и особенно опасна из-за своей способности к адаптации и изменению.

Процесс шифрования в DoNex включает использование функции CryptGenRandom() для генерации ключа, который затем применяется для инициализации симметричного ключа ChaCha20 и шифрования файлов. Ключи файлов после шифрования шифруются с использованием RSA-4096 и добавляются в конец файла. Более того, DoNex нацеливается на файлы с определёнными расширениями, указанными в его конфигурации XML.

Важной особенностью DoNex является то, что для файлов размером менее 1 МБ происходит полное шифрование, а файлы большего размера шифруются частично — разделяются на блоки, которые затем шифруются отдельно.

С появлением декриптора у жертв DoNex появилась надежда на восстановление их данных без выплаты выкупа. Процесс дешифровки начинается с загрузки декриптора, после чего пользователь может следовать пошаговым инструкциям мастера настройки, что включает выбор локаций для дешифровки и пары файлов — оригинального и зашифрованного. После успешного нахождения пароля начинается процесс дешифровки, который может занять некоторое время, но в конечном итоге возвращает доступ к данным.