研究人员来自 Avast,已发现 DoNex 勒索软件及其前身的加密方案缺陷。自2024年3月起,我们一直在与执法机构合作,向 DoNex 勒索软件的受害者默默提供解密工具。该加密漏洞在 2024 年的 Recon 大会上被公开,因此我们不再需要对其保密。
DoNex 勒索软件经历了多次品牌重塑。首次发布的品牌名叫 Muse,出现于2022年4月。随后经过多次迭代,最终版本被称为 DoNex。自2024年4月以来,DoNex似乎停止了其演变,因为我们没有检测到任何新样本。此外,该勒索软件的 TOR 网站也从那时起处于关闭状态。以下是 DoNex 的简要历史。
日期 事件 2022年4月 首个 Muse 勒索软件样本 2022年11月 重塑品牌为假 LockBit 30 2023年5月 重塑品牌为 DarkRace 2024年3月 重塑品牌为 DoNex
DoNex 勒索软件的所有品牌都有解密工具支持。
DoNex 采用针对特定受害者的攻击方式,在美国、意大利和荷兰最为活跃,基于我们的遥测数据。
DoNex 被阻止的攻击
在实现勒索软件执行期间,通过 CryptGenRandom() 函数生成加密密钥。该密钥随后用于初始化 ChaCha20 对称密钥,进而加密文件。在文件加密后,对称文件密钥会被 RSA4096 加密并附加到文件末尾。文件根据其扩展名进行选择,文件扩展名在勒索软件的 XML 配置中列出。
对于小文件最大1 MB,整个文件会被加密。对于大于1 MB的文件,则使用间歇性加密将文件分割成块,分别加密这些块。
DoNex 勒索软件及其早期版本的样本包含 XOR 加密的配置,包含白名单扩展名、白名单文件、需终止的服务和其他与加密相关的数据。以下片段显示了该配置的一部分:
xml
386advanibatbincabcmdcomcplcurdeskthemepackdiagcabdiagcfg diagpkgdlldrvexehlpiclicnsicoicsidxlnkmodmpamscmspmsstyles msunlsnomediaocxprfps1romrtpscrshssplsysthemethemepackwpx lockkeyhtamsipdbsearchms bootmgrautoruninfbootinibootfontbinbootsectbakdesktopiniiconcachedb ntldrntuserdatntuserdatlogntuserinithumbsdbGDIPFONTCACHEV1DATd3d9capsdat recyclebinconfigmsiwindowsbtwindowswswindowsbootprogram files program files (x86)programdatasystem volume informationtor browserwindowsold intelmsocacheperflogsx64dbgpublicall usersdefaultmicrosoftappdata sqloraclemysqchromeveeamfirefoxexcelmsaccessonenoteoutlookpowerpntwinwordwuauclt vsssqlsvcmemtasmepocsmsexchangesophosveeambackupGxVssGxBlrGxFWDGxCVDGxCIMgr ldfmdf 30
识别是否受到 DoNex 勒索软件攻击的最简单方法是查看赎金通知。不同品牌的 DoNex 勒索软件会生成不同的赎金通知,但每个版本都有一条通知。值得注意的是,假 LockBit、DarkRace 和 DoNex 勒索软件的赎金通知布局非常相似。下方是每种的示例。
Muse 勒索通知截图
假 LockBit 勒索通知截图
DarkRace 勒索通知截图
DoNex 勒索通知截图
哈希值 品牌 9d5c4544bd06335c2ad2545b0d177218f84b77dd1834b22bf6a4cfe7e1de91fb Muse 04ed1a811b3594f55486a52ab81227089c178f5c73944a3a9665d7052c3b7df9 Fake LockBit 30 0ec61a80e61f56f460fc42e5d4f0accec2b04c8db98c28ed4534946214076f2a Dark Race b9b4766d6b0e63f80d49e969fbd63ae90b0d1e487ef008b55c096bf46395d32e DoNex
标记为 解密工具、解密工具、勒索软件
分享:XFacebook