行业新闻与博客
Avast 向受害者提供 DoNex 勒索软件解密器
据防病毒提供商 Avast 称,执法机构自 2024 年 3 月以来一直在与 DoNex 勒索软件的受害者共享解密密钥。
Avast 威胁研究团队在 7 月 8 日发布的一篇博客文章中表示,在发现该恶意软件及其前身的加密方案存在缺陷后,已悄悄向 DoNex 勒索软件受害者提供了解密器。
研究人员写道:“加密弱点在 Recon 2024 上被公开,因此我们没有理由再保守这个秘密。”
什么是 DoNex 勒索软件?
现在称为 DoNex 的第一个样本于 2022 年 4 月作为 Muse 勒索软件出现。它于 2022 年 11 月更名为 LockBit 3.0 ,尽管它实际上与 LockBit 勒索软件毒株无关。
2023 年 5 月,它再次更名,这次名称为 DarkRace,之后于 2024 年 3 月又更名为 DoNex。
2024 年 3 月,博通旗下的赛门铁克安全公告称,DoNex 背后的组织在其 TOR 网站上声称包括美国和欧洲在内的公司是受害者。
Avast 表示该组织的目标主要在美国、意大利和比利时。
“自 2024 年 4 月以来,DoNex 似乎已经停止了进化,因为自那以后我们就没有检测到任何新的样本。此外,从那时起,勒索软件的 TOR 网站就一直处于瘫痪状态,”研究人员写道。
DoNex 勒索软件配置内部
DoNex 勒索软件及其先前版本的样本使用标准加密算法 XOR 密码进行加密。
在勒索软件执行期间,由“CryptGenRandom ()”函数生成加密密钥,然后用于初始化 ChaCha20 对称密钥并加密文件。文件加密后,对称文件密钥通过 RSA-4096 加密并附加到文件末尾。文件按扩展名挑选,文件扩展名列在勒索软件 xml 配置中。
小文件(不超过 1 MB)会全部加密,大文件(超过 1 MB)会采用间歇性加密。这意味着文件会被分成多个块,然后分别进行加密。
该勒索软件还包含白名单扩展和文件的设置,以及终止特定服务的请求。
为了确定自己是否受到了 DoNex 运营商的攻击,Avast 建议观察赎金纸条的布局,因为 DoNex 和相关品牌的赎金纸条看起来很相似。
防病毒提供商提供了解密器的链接以及如何使用它的说明。
最近新闻
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要帮助吗?联系我们的支持团队 在线客服