Salvación para las víctimas: el código se convirtió en el talón de Aquiles del ransomware DoNex

Avast ha descubierto una vulnerabilidad en el esquema criptográfico del ransomware DoNex y sus predecesores. Debido a esto, los investigadores, junto con las fuerzas del orden, comenzaron a proporcionar discretamente un descifrador a las víctimas del virus. El descubrimiento de la vulnerabilidad se anunció en la conferencia Recon 2024, tras lo cual la información sobre el descifrador se hizo pública.

El programa DoNex ha pasado por varias etapas de rebranding desde abril de 2022, comenzando con la primera versión llamada Muse. Después de varios cambios, la última versión fue nombrada DoNex. Desde abril de 2024, el desarrollo del virus se detuvo y no se detectaron nuevas muestras, lo que indica el declive del ransomware.

DoNex atacó activamente a sus víctimas, especialmente en Estados Unidos, Italia y los Países Bajos. El programa utiliza métodos de ataques dirigidos y es particularmente peligroso debido a su capacidad de adaptación y cambio.

El proceso de cifrado en DoNex incluye el uso de la función CryptGenRandom() para generar una clave que luego se utiliza para inicializar una clave simétrica ChaCha20 y cifrar archivos. Las claves de los archivos después del cifrado se cifran utilizando RSA-4096 y se añaden al final del archivo. Además, DoNex se dirige a archivos con ciertas extensiones especificadas en su configuración XML.

Una característica importante de DoNex es que los archivos de menos de 1 MB se cifran completamente, mientras que los archivos más grandes se cifran parcialmente, dividiéndolos en bloques que luego se cifran por separado.

Con la aparición del descifrador, las víctimas de DoNex tienen esperanza de recuperar sus datos sin pagar el rescate. El proceso de descifrado comienza con la descarga del descifrador, después de lo cual el usuario puede seguir las instrucciones paso a paso del asistente de configuración, que incluye la selección de ubicaciones para el descifrado y un par de archivos, uno original y otro cifrado. Después de encontrar con éxito la contraseña, comienza el proceso de descifrado, que puede llevar algún tiempo, pero finalmente devuelve el acceso a los datos.