Sommario
I ricercatori di Avast hanno recentemente scoperto una vulnerabilità significativa nello schema crittografico del ransomware DoNex e dei suoi predecessori. Collaborando con le forze dell’ordine, Avast ha fornito in silenzio un decryptor alle vittime di DoNex ransomware sin da marzo 2024. La debolezza crittografica è stata resa pubblica alla conferenza Recon 2024, permettendo ora di discutere apertamente di queste scoperte.
Storia e evoluzione di DoNex ransomware
Il ransomware DoNex ha subito diversi rebranding dal suo primo avvistamento come Muse nel 2022. Successivamente, è stato ribattezzato come una falsa versione di LockBit 3.0 e poi come DarkRace, per poi arrivare alla versione finale chiamata DoNex nel 2024. Le diverse versioni di questo ransomware hanno tutte seguito un’evoluzione simile, ma con alcune variazioni nei metodi di attacco e crittografia. Dal momento che non sono stati rilevati nuovi campioni da aprile 2024 e il sito TOR del ransomware è inattivo, sembra che DoNex abbia cessato di evolversi.
Schema di Crittografia del Ransomware
DoNex utilizza un approccio sofisticato per crittografare i file delle vittime. Durante l’esecuzione del ransomware, viene generata una chiave di crittografia tramite la funzione CryptGenRandom(). Questa chiave viene utilizzata per inizializzare un algoritmo ChaCha20 a chiave simmetrica, che crittografa i file. Successivamente, la chiave di file simmetrica viene crittografata con RSA-4096 e apposta alla fine del file crittografato.
I file sono crittografati in base alle loro estensioni, che sono elencate nella configurazione XML del ransomware. I file piccoli, fino a 1 MB, vengono crittografati interamente, mentre per i file più grandi viene utilizzata una crittografia intermittente, suddividendo il file in blocchi e crittografandoli separatamente.
Configurazione del Ransomware
I campioni del ransomware DoNex e delle sue versioni precedenti contengono configurazioni XOR criptate, che includono estensioni e file da escludere, servizi da terminare e altre informazioni rilevanti per la crittografia. Un esempio di configurazione include whitelist di estensioni e file, cartelle da escludere, servizi da terminare e thread di crittografia.
Come identificare un attacco DoNex
Il modo più semplice per identificare un attacco da parte del ransomware DoNex è attraverso la nota di riscatto. Ogni versione del ransomware, nonostante i diversi nomi, include una nota di riscatto simile. Di seguito sono riportati esempi delle note di riscatto per le diverse versioni del ransomware.
Utilizzare il Decryptor di DoNex
- Download: Scarica il decryptor da qui.
- Esecuzione: Esegui il file eseguibile come amministratore, avviando una procedura guidata per configurare il processo di decrittazione.
- Configurazione: Seleziona le posizioni (drive, cartelle, file) da decrittare. Fornisci esempi di file nella loro forma originale e crittografata.
- Cracking della Password: Inizia il processo di cracking della password, che richiede una notevole quantità di memoria di sistema.
- Decrittazione: Decritta tutti i file crittografati sul tuo PC.
La scoperta della vulnerabilità crittografica del ransomware DoNex da parte di Avast rappresenta un passo importante nella lotta contro il ransomware. La possibilità di decrittare i file senza pagare il riscatto è una vittoria significativa per le vittime di questi attacchi.
