行业新闻与博客

据防病毒提供商 Avast 称，执法机构自 2024 年 3 月以来一直在与 DoNex 勒索软件的受害者共享解密密钥。

Avast 威胁研究团队在 7 月 8 日发布的一篇博客文章中表示，在发现该恶意软件及其前身的加密方案存在缺陷后，已悄悄向 DoNex 勒索软件受害者提供了解密器。

研究人员写道：“加密弱点在 Recon 2024 上被公开，因此我们没有理由再保守这个秘密。”

什么是 DoNex 勒索软件？

现在称为 DoNex 的第一个样本于 2022 年 4 月作为 Muse 勒索软件出现。它于 2022 年 11 月更名为 LockBit 3.0 ，尽管它实际上与 LockBit 勒索软件毒株无关。

2023 年 5 月，它再次更名，这次名称为 DarkRace，之后于 2024 年 3 月又更名为 DoNex。

2024 年 3 月，博通旗下的赛门铁克安全公告称，DoNex 背后的组织在其 TOR 网站上声称包括美国和欧洲在内的公司是受害者。

Avast 表示该组织的目标主要在美国、意大利和比利时。

“自 2024 年 4 月以来，DoNex 似乎已经停止了进化，因为自那以后我们就没有检测到任何新的样本。此外，从那时起，勒索软件的 TOR 网站就一直处于瘫痪状态，”研究人员写道。

DoNex 勒索软件配置内部

DoNex 勒索软件及其先前版本的样本使用标准加密算法 XOR 密码进行加密。

在勒索软件执行期间，由“CryptGenRandom ()”函数生成加密密钥，然后用于初始化 ChaCha20 对称密钥并加密文件。文件加密后，对称文件密钥通过 RSA-4096 加密并附加到文件末尾。文件按扩展名挑选，文件扩展名列在勒索软件 xml 配置中。

小文件（不超过 1 MB）会全部加密，大文件（超过 1 MB）会采用间歇性加密。这意味着文件会被分成多个块，然后分别进行加密。

该勒索软件还包含白名单扩展和文件的设置，以及终止特定服务的请求。

为了确定自己是否受到了 DoNex 运营商的攻击，Avast 建议观察赎金纸条的布局，因为 DoNex 和相关品牌的赎金纸条看起来很相似。

防病毒提供商提供了解密器的链接以及如何使用它的说明。