行業新聞與部落格

據防病毒提供商 Avast 稱，執法機構自 2024 年 3 月以來一直在與 DoNex 勒索軟體的受害者共享解密金鑰。

Avast 威脅研究團隊在 7 月 8 日釋出的一篇部落格文章中表示，在發現該惡意軟體及其前身的加密方案存在缺陷後，已悄悄向 DoNex 勒索軟體受害者提供瞭解密器。

研究人員寫道：“加密弱點在 Recon 2024 上被公開，因此我們沒有理由再保守這個秘密。”

什麼是 DoNex 勒索軟體？

現在稱為 DoNex 的第一個樣本於 2022 年 4 月作為 Muse 勒索軟體出現。它於 2022 年 11 月更名為 LockBit 3.0 ，儘管它實際上與 LockBit 勒索軟體毒株無關。

2023 年 5 月，它再次更名，這次名稱為 DarkRace，之後於 2024 年 3 月又更名為 DoNex。

2024 年 3 月，博通旗下的賽門鐵克安全公告稱，DoNex 背後的組織在其 TOR 網站上聲稱包括美國和歐洲在內的公司是受害者。

Avast 表示該組織的目標主要在美國、義大利和比利時。

“自 2024 年 4 月以來，DoNex 似乎已經停止了進化，因為自那以後我們就沒有檢測到任何新的樣本。此外，從那時起，勒索軟體的 TOR 網站就一直處於癱瘓狀態，”研究人員寫道。

DoNex 勒索軟體配置內部

DoNex 勒索軟體及其先前版本的樣本使用標準加密演算法 XOR 密碼進行加密。

在勒索軟體執行期間，由“CryptGenRandom ()”函式生成加密金鑰，然後用於初始化 ChaCha20 對稱金鑰並加密檔案。檔案加密後，對稱檔案金鑰透過 RSA-4096 加密並附加到檔案末尾。檔案按擴充名挑選，檔案擴充名列在勒索軟體 xml 配置中。

小檔案（不超過 1 MB）會全部加密，大檔案（超過 1 MB）會採用間歇性加密。這意味著檔案會被分成多個塊，然後分別進行加密。

該勒索軟體還包含白名單擴充和檔案的設定，以及終止特定服務的請求。

為了確定自己是否受到了 DoNex 運營商的攻擊，Avast 建議觀察贖金紙條的佈局，因為 DoNex 和相關品牌的贖金紙條看起來很相似。

防病毒提供商提供瞭解密器的連結以及如何使用它的說明。