解密：DoNex 勒索病毒及其前身 – Avast | 动态

研究人员来自 Avast，已发现 DoNex 勒索软件及其前身的加密方案缺陷。自2024年3月起，我们一直在与执法机构合作，向 DoNex勒索软件的受害者默默提供解密工具。该加密漏洞在 2024 年的 Recon 大会上被公开，因此我们不再需要对其保密。

DoNex及其兄弟

DoNex 勒索软件经历了多次品牌重塑。首次发布的品牌名叫 Muse，出现于2022年4月。随后经过多次迭代，最终版本被称为
DoNex。自2024年4月以来，DoNex似乎停止了其演变，因为我们没有检测到任何新样本。此外，该勒索软件的 TOR 网站也从那时起处于关闭状态。以下是
DoNex 的简要历史。

| 日期 | 事件 | | ——— | ———————— | | 2022年4月 | 首个 Muse 勒索软件样本 | | 2022年11月 | 重塑品牌为假 LockBit 3.0 | | 2023年5月 | 重塑品牌为 DarkRace | | 2024年3月 | 重塑品牌为 DoNex |

DoNex 勒索软件的所有品牌都有解密工具支持。

DoNex 采用针对特定受害者的攻击方式，在美国、意大利和荷兰最为活跃，基于我们的遥测数据。

DoNex 被阻止的攻击

勒索软件加密方案

在实现勒索软件执行期间，通过函数生成加密密钥。该密钥随后用于初始化
ChaCha20 对称密钥，进而加密文件。在文件加密后，对称文件密钥会被 RSA-4096加密并附加到文件末尾。文件根据其扩展名进行选择，文件扩展名在勒索软件的 XML 配置中列出。

对于小文件（最大1 MB），整个文件会被加密。对于大于1 MB的文件，则使用间歇性加密——将文件分割成块，分别加密这些块。

勒索软件配置

DoNex 勒索软件及其早期版本的样本包含 XOR加密的配置，包含白名单扩展名、白名单文件、需终止的服务和其他与加密相关的数据。以下片段显示了该配置的一部分：

“`xml

386;adv;ani;bat;bin;cab;cmd;com;cpl;cur;deskthemepack;diagcab;diagcfg;
diagpkg;dll;drv;exe;hlp;icl;icns;ico;ics;idx;lnk;mod;mpa;msc;msp;msstyles;
msu;nls;nomedia;ocx;prf;ps1;rom;rtp;scr;shs;spl;sys;theme;themepack;wpx;
lock;key;hta;msi;pdb;search-msbootmgr;autorun.inf;boot.ini;bootfont.bin;bootsect.bak;desktop.ini;iconcache.db;
ntldr;ntuser.dat;ntuser.dat.log;ntuser.ini;thumbs.db;GDIPFONTCACHEV1.DAT;d3d9caps.dat
$recycle.bin;config.msi;$windows.~bt;$windows.~ws;windows;boot;program files;
program files (x86);programdata;system volume information;torbrowser;windows.old; intel;msocache;perflogs;x64dbg;public;allusers;default;microsoft;appdatasql;oracle;mysq;chrome;veeam;firefox;excel;msaccess;onenote;outlook;powerpnt;winword;wuaucltvss;sql;svc$;memtas;mepocs;msexchange;sophos;veeam;backup;GxVss;GxBlr;GxFWD;GxCVD;GxCIMgrldf;mdf 30 … “`