Криптографическая слабость в программе-вымогателе DoNex и его предыдущих воплощениях – Muse, LockBit 3.0 и DarkRace – позволила исследователям Avast создать дешифратор для файлов, зашифрованных всеми этими вариантами вымогательского ПО.
«В сотрудничестве с правоохранительными органами мы предоставляем расшифровщик жертвам DoNex ransomware с марта 2024 года»
- сообщила в понедельник группа исследования угроз компании
О компании DoNex
Программа-вымогатель DoNex появилась в начале марта 2024 года.
Другие исследователи также поделились своим анализом этой вредоносной программы.
«DoNex использует целенаправленные атаки на своих жертв и, судя по нашей телеметрии, зловред был наиболее активен в США, Италии и Бельгии. С апреля 2024 года DoNex прекратил свое развитие, поскольку с тех пор мы не обнаружили ни одного нового образца. Кроме того, с этого момента сайт в сети TOR, на котором размещалась эта программа-вымогатель, уже не работает»
- отмечают исследователи Avast
Использование расшифровщика
Файлы, зашифрованные с помощью DoNex ransomware, получают уникальное расширение (идентификационный номер жертвы), а файл с запиской о выкупе называется Readme.victimIDnumber.txt. Записки о выкупе для DoNex и его предыдущих инкарнаций похожи и обычно упоминают название группы (Muse, DarkRace и т. д.).
После загрузки расшифровщика жертвам необходимо указать список дисков, папок и файлов, которые нужно расшифровать, а также зашифрованный файл и тот же файл в исходном виде. Это позволит расшифровщику определить пароль, необходимый для расшифровки остальных файлов.