Специалисты Avast обнаружили уязвимость в криптографической схеме программы-вымогателя DoNex и её предшественников. В связи с этим, исследователи вместе с правоохранительными органами начали тайно предоставлять декриптор жертвам вируса. Открытие уязвимости было оглашено на конференции Recon 2024, после чего информация о декрипторе стала общедоступной.
Программа DoNex прошла через несколько этапов ребрендинга с апреля 2022 года, начиная с первой версии под названием Muse. После нескольких изменений последняя версия была названа DoNex. С апреля 2024 года разработка вируса прекратилась, и новые образцы не обнаруживались, что свидетельствует о затухании программы-вымогателя.
DoNex активно атаковал своих жертв, особенно в США, Италии и Нидерландах. Программа использует метод целевых атак и особенно опасна из-за своей способности к адаптации и изменению.
Процесс шифрования в DoNex включает использование функции CryptGenRandom() для генерации ключа, который затем применяется для инициализации симметричного ключа ChaCha20 и шифрования файлов. Ключи файлов после шифрования шифруются с использованием RSA-4096 и добавляются в конец файла. Более того, DoNex нацеливается на файлы с определёнными расширениями, указанными в его конфигурации XML.
Важной особенностью DoNex является то, что для файлов размером менее 1 МБ происходит полное шифрование, а файлы большего размера шифруются частично – разделяются на блоки, которые затем шифруются отдельно.
С появлением декриптора у жертв DoNex появилась надежда на восстановление их данных без выплаты выкупа. Процесс дешифровки начинается с загрузки декриптора, после чего пользователь может следовать пошаговым инструкциям мастера настройки, что включает выбор локаций для дешифровки и пары файлов – оригинального и зашифрованного. После успешного нахождения пароля начинается процесс дешифровки, который может занять некоторое время, но в конечном итоге возвращает доступ к данным.