行業新聞與部落格
Avast 向受害者提供 DoNex 勒索軟體解密器
據防病毒提供商 Avast 稱,執法機構自 2024 年 3 月以來一直在與 DoNex 勒索軟體的受害者共享解密金鑰。
Avast 威脅研究團隊在 7 月 8 日釋出的一篇部落格文章中表示,在發現該惡意軟體及其前身的加密方案存在缺陷後,已悄悄向 DoNex 勒索軟體受害者提供瞭解密器。
研究人員寫道:“加密弱點在 Recon 2024 上被公開,因此我們沒有理由再保守這個秘密。”
什麼是 DoNex 勒索軟體?
現在稱為 DoNex 的第一個樣本於 2022 年 4 月作為 Muse 勒索軟體出現。它於 2022 年 11 月更名為 LockBit 3.0 ,儘管它實際上與 LockBit 勒索軟體毒株無關。
2023 年 5 月,它再次更名,這次名稱為 DarkRace,之後於 2024 年 3 月又更名為 DoNex。
2024 年 3 月,博通旗下的賽門鐵克安全公告稱,DoNex 背後的組織在其 TOR 網站上聲稱包括美國和歐洲在內的公司是受害者。
Avast 表示該組織的目標主要在美國、義大利和比利時。
“自 2024 年 4 月以來,DoNex 似乎已經停止了進化,因為自那以後我們就沒有檢測到任何新的樣本。此外,從那時起,勒索軟體的 TOR 網站就一直處於癱瘓狀態,”研究人員寫道。
DoNex 勒索軟體配置內部
DoNex 勒索軟體及其先前版本的樣本使用標準加密演算法 XOR 密碼進行加密。
在勒索軟體執行期間,由“CryptGenRandom ()”函式生成加密金鑰,然後用於初始化 ChaCha20 對稱金鑰並加密檔案。檔案加密後,對稱檔案金鑰透過 RSA-4096 加密並附加到檔案末尾。檔案按擴充名挑選,檔案擴充名列在勒索軟體 xml 配置中。
小檔案(不超過 1 MB)會全部加密,大檔案(超過 1 MB)會採用間歇性加密。這意味著檔案會被分成多個塊,然後分別進行加密。
該勒索軟體還包含白名單擴充和檔案的設定,以及終止特定服務的請求。
為了確定自己是否受到了 DoNex 運營商的攻擊,Avast 建議觀察贖金紙條的佈局,因為 DoNex 和相關品牌的贖金紙條看起來很相似。
防病毒提供商提供瞭解密器的連結以及如何使用它的說明。
最近新聞
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要幫助嗎?聯絡我們的支援團隊 線上客服