留言

解密:DoNex 勒索病毒及其前身

研究人员来自 Avast,已发现 DoNex 勒索软件及其前身的加密方案缺陷。自2024年3月起,我们一直在与执法机构合作,向 DoNex 勒索软件的受害者默默提供解密工具。该加密漏洞在 2024 年的 Recon 大会上被公开,因此我们不再需要对其保密。

DoNex及其兄弟

DoNex 勒索软件经历了多次品牌重塑。首次发布的品牌名叫 Muse,出现于2022年4月。随后经过多次迭代,最终版本被称为 DoNex。自2024年4月以来,DoNex似乎停止了其演变,因为我们没有检测到任何新样本。此外,该勒索软件的 TOR 网站也从那时起处于关闭状态。以下是 DoNex 的简要历史。

解密:DoNex 勒索病毒及其前身

日期 事件 2022年4月 首个 Muse 勒索软件样本 2022年11月 重塑品牌为假 LockBit 30 2023年5月 重塑品牌为 DarkRace 2024年3月 重塑品牌为 DoNex

DoNex 勒索软件的所有品牌都有解密工具支持。

DoNex 采用针对特定受害者的攻击方式,在美国、意大利和荷兰最为活跃,基于我们的遥测数据。

DoNex 被阻止的攻击

勒索软件加密方案

在实现勒索软件执行期间,通过 CryptGenRandom() 函数生成加密密钥。该密钥随后用于初始化 ChaCha20 对称密钥,进而加密文件。在文件加密后,对称文件密钥会被 RSA4096 加密并附加到文件末尾。文件根据其扩展名进行选择,文件扩展名在勒索软件的 XML 配置中列出。

对于小文件最大1 MB,整个文件会被加密。对于大于1 MB的文件,则使用间歇性加密将文件分割成块,分别加密这些块。

勒索软件配置

DoNex 勒索软件及其早期版本的样本包含 XOR 加密的配置,包含白名单扩展名、白名单文件、需终止的服务和其他与加密相关的数据。以下片段显示了该配置的一部分:

xml

386advanibatbincabcmdcomcplcurdeskthemepackdiagcabdiagcfg diagpkgdlldrvexehlpiclicnsicoicsidxlnkmodmpamscmspmsstyles msunlsnomediaocxprfps1romrtpscrshssplsysthemethemepackwpx lockkeyhtamsipdbsearchms bootmgrautoruninfbootinibootfontbinbootsectbakdesktopiniiconcachedb ntldrntuserdatntuserdatlogntuserinithumbsdbGDIPFONTCACHEV1DATd3d9capsdat recyclebinconfigmsiwindowsbtwindowswswindowsbootprogram files program files (x86)programdatasystem volume informationtor browserwindowsold intelmsocacheperflogsx64dbgpublicall usersdefaultmicrosoftappdata sqloraclemysqchromeveeamfirefoxexcelmsaccessonenoteoutlookpowerpntwinwordwuauclt vsssqlsvcmemtasmepocsmsexchangesophosveeambackupGxVssGxBlrGxFWDGxCVDGxCIMgr ldfmdf 30

如何知道自己是否受到 DoNex 勒索软件攻击?

识别是否受到 DoNex 勒索软件攻击的最简单方法是查看赎金通知。不同品牌的 DoNex 勒索软件会生成不同的赎金通知,但每个版本都有一条通知。值得注意的是,假 LockBit、DarkRace 和 DoNex 勒索软件的赎金通知布局非常相似。下方是每种的示例。

Muse 勒索通知截图

假 LockBit 勒索通知截图

DarkRace 勒索通知截图

DoNex 勒索通知截图

如何使用 DoNex 勒索软件解密工具

从 这里 下载解密工具。 运行可执行文件,最好以管理员身份。在开始时会出现向导,指导您配置解密过程。 在初始页面,我们提供了许可证信息的链接。在准备就绪后,点击“下一步”。

老王梯子加速器在下一个页面,用户被要求提供要解密的位置列表驱动器、文件夹、文件。默认情况下,它会列出所有本地磁盘驱动器。

在接下来的页面,您需要提供一个原始文件的示例以及一个被 DoNex 勒索软件加密的文件。输入两个文件的名称。您也可以将文件从 Windows 资源管理器拖放到向导页面中。极其重要的是选择尽可能大的文件对。 可解密的工具的最大文件大小等于配对加密文件的大小。

下一页是密码破解过程。在准备就绪后点击“开始”。此过程通常只需几秒钟,但需要大量系统内存。因此,我们强烈建议使用 64 位版本的解密工具。找到密码后,您可以通过点击“下一步”继续解密计算机上所有加密的文件。

在最后一页,您可以选择备份您的加密文件。这些备份可能在解密过程中出现任何问题时提供帮助。此选项默认已选中,我们建议保留。点击“解密”后,解密过程开始。让解密工具工作,等待其完成对所有文件的解密。

受损指标IOCs

哈希值 品牌 9d5c4544bd06335c2ad2545b0d177218f84b77dd1834b22bf6a4cfe7e1de91fb Muse 04ed1a811b3594f55486a52ab81227089c178f5c73944a3a9665d7052c3b7df9 Fake LockBit 30 0ec61a80e61f56f460fc42e5d4f0accec2b04c8db98c28ed4534946214076f2a Dark Race b9b4766d6b0e63f80d49e969fbd63ae90b0d1e487ef008b55c096bf46395d32e DoNex

标记为 解密工具、解密工具、勒索软件

分享:XFacebook

无硬碟基础设施测试版 (系统透明度:stboot) 速度、安全性、简单性:使用 PrivateVPN 享受轻松浏览的三重 S