TTL OSINT

08.07.2024 170 2 мин.

Расшифровано: программа-вымогатель DoNex и ее предшественники

Программа-вымогатель DoNex и ее предшественники имеют криптографическую уязвимость, обнаруженную исследователями из Avast. Эта уязвимость была обнародована в апреле 2024 года, а с марта 2024 года жертвам предоставляется дешифратор. Программа-вымогатель использует целенаправленные атаки и наиболее активна в США, Италии и Бельгии. Она шифрует файлы с помощью симметричного ключа ChaCha20 и шифрования RSA-4096. Конфигурация программы-вымогателя зашифрована методом XOR и содержит такие параметры, как внесенные в белый список расширения, файлы, службы для уничтожения и данные, связанные с шифрованием. Дешифратор можно загрузить с веб-сайта Avast, для расшифровки которого требуется пара файлов из зараженной системы. Важно отметить, что схема получения уведомления о выкупе в программах-вымогателях Fake Lock Bit, Dark Race и DoNex схожа. Компания Avast также обнаружила новый вариант руткита Diamorphine, который ранее не был обнаружен в природе, и проследила за развитием GuptiMiner, вредоносной кампании, использующей антивирусные обновления для распространения бэкдоров и coinminers.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://decoded.avast.io/threatresearch/decrypted-donex-ransomware-and-its-predecessors/

Выборочные показатели Compromise:

• 74b5e2d90daaf96657e4d3d800bb20bf189bb2cf487479ea0facaf6182e0d1d3
• 0e60d49a967599fab179f8c885d91db25016be996d66a4e00cbb197e5085efa4
• 2e397dcbcc630b492c01af9cb6033edd9c857e2881bead6956e43aefb16b6a21
• 04ed1a811b3594f55486a52ab81227089c178f5c73944a3a9665d7052c3b7df9
• b32ae94b32bcc5724d706421f915b7f7730c4fb20b04f5ab0ca830dc88dcce4e

Источник: TTL OSINT