Исследователи Avast обнаружили криптографический изъян в программе DoNex ransomware и ее предшественниках, от которых пострадали жертвы в США, Италии и Бельгии.
Программа использует сложный процесс шифрования с помощью ChaCha20, и компания Avast предоставила пострадавшим расшифровщик.
Во время выполнения выкупной программы ключ шифрования генерируется функцией CryptGenRandom(). Этот ключ используется для инициализации симметричного ключа ChaCha20 и последующего шифрования файлов. После шифрования файла симметричный ключ шифруется по алгоритму RSA-4096 и добавляется в конец файла. Файлы выбираются по их расширению, а расширения файлов перечислены в XML-конфиге вымогателя.
Indicators of Compromise
SHA256
- 04ed1a811b3594f55486a52ab81227089c178f5c73944a3a9665d7052c3b7df9
- 0adde4246aaa9fb3964d1d6cf3c29b1b13074015b250eb8e5591339f92e1e3ca
- 0e60d49a967599fab179f8c885d91db25016be996d66a4e00cbb197e5085efa4
- 0ec61a80e61f56f460fc42e5d4f0accec2b04c8db98c28ed4534946214076f2a
- 2e1fd124f3e9fc238773e49bc971c882464a3686171d18ab2cd6c2859be138d1
- 2e397dcbcc630b492c01af9cb6033edd9c857e2881bead6956e43aefb16b6a21
- 6d6134adfdf16c8ed9513aba40845b15bd314e085ef1d6bd20040afd42e36e40
- 74b5e2d90daaf96657e4d3d800bb20bf189bb2cf487479ea0facaf6182e0d1d3
- 91745d530a8304742b58890e798448de9fbe4ea0bc057f30ab0beb522b4bb688
- 9d5c4544bd06335c2ad2545b0d177218f84b77dd1834b22bf6a4cfe7e1de91fb
- B32ae94b32bcc5724d706421f915b7f7730c4fb20b04f5ab0ca830dc88dcce4e
- b9b4766d6b0e63f80d49e969fbd63ae90b0d1e487ef008b55c096bf46395d32e
