Avast 最近发布了 DoNex 勒索软件的解密器,为 DoNex 及其前派生版本的受害者提供免费的恢复方案。根据 Avast 的监测数据,自 2022 年 4 月以来,DoNex、Muse、DarkRace 和假 LockBit 30 一直活跃,主要攻击目标为美国、意大利和比利时的企业。DoNex 是该勒索软件家族的最新版本,首次出现在 2024 年 3 月。
在今年早些时候,Avast 发现了 DoNex 及其前身使用的加密方法的漏洞,解密工具自 2024 年 3 月以来就已诚邀受害者使用,并取得了执法部门的支持。根据 Avast 周一发布的 博客文章,该工具已经公开发布。
在 2024 年 Recon 会议上,荷兰国家警察展示了如何逆向工程 DoNex,从而利用相同的加密缺陷解密被影响的文件。荷兰警方表示,他们将在 NoMoreRansom 平台上提供自己的解密器,而 DoNex 解密器已于 7 月 8 日出现在 公开解密工具列表中。
Avast 解密器适用于所有四种 DoNex 变种:Muse自 2022 年 4 月起活跃、假 LockBit 30自 2022 年 11 月起活跃、DarkRace自 2023 年 5 月起活跃以及最新的 DoNex自 2024 年 3 月起活跃。
这些勒索软件变种可以通过其勒索信件进行识别,假 LockBit 30 的勒索信声称来源于真实的 LockBit 勒索软件团伙。
受害者应首先运行解密器可执行文件点击下载,并在许可信息页面后提供需要解密的目录位置信息。接着,用户需提供一个加密文件及其未加密版本;Avast 建议选择尽可能大的文件对,以提高成功解密的可能性。
文件上传后,解密工具将尝试破解 DoNex 密码,以完成解密过程。此过程会使用大量系统内存,并可能需要几个小时。虽然 Avast 表示“通常只需一秒钟”。
在解密过程开始之前,用户可选择备份其加密文件,以防在解密过程中出现错误。最后,用户可以点击“解密”按钮以启动最终恢复流程。
DoNex 的加密过程使用 CryptGenRandom() 函数生成加密密钥,该密钥用于初始化 ChaCha20 对称密钥生成并最终加密文件。在加密结束时,对称密钥通过 RSA4096 加密,并附加在文件末尾。小于 1 MB 的文件会被完全加密,而大于 1 MB 的文件则会被拆分为多个块分别加密。
根据 Avast 的数据,自 2024 年 4 月以来,未检测到任何新的 DoNex 相关勒索软件样本,其暗网网站也自那时起处于关闭状态,显示出该勒索软件家族的演变似乎已暂停。
