Avast 的研究人员发现了 DoNex 勒索软件及其前身的加密方案存在缺陷。我们与执法机构合作,自 2024 年 3 月以来一直在默默地向 DoNex 勒索软件受害者提供解密器。加密漏洞已在 Recon 2024 上公开,因此我们没有理由再保守这个秘密。
DoNex 及其兄弟公司
DoNex 勒索软件已多次更名。第一个品牌名为 Muse,于 2022 年 4 月出现。随后经过多次演变,最终形成了勒索软件的最终版本,名为 DoNex。自 2024 年 4 月以来,DoNex 似乎已停止演变,因为自那以后我们没有检测到任何新样本。此外,勒索软件的 TOR 网站从那时起就一直处于瘫痪状态。以下是 DoNex 的简要历史。
-
2022 年 4 月Muse 勒索软件的第一个样本
-
2022 年 11 月重新命名为假的 LockBit 3.0
-
2023 年 5 月更名为 DarkRace
-
2024 年 3 月更名为 DoNex
解密器支持所有品牌的 DoNex 勒索软件。
DoNex 对受害者采取有针对性的攻击方式,根据我们的遥测数据,它在美国、意大利和荷兰最为活跃。
勒索软件加密方案
在勒索软件执行期间,CryptGenRandom()函数会生成一个加密密钥。然后,此密钥用于初始化 ChaCha20 对称密钥,随后用于加密文件。文件加密后,对称文件密钥通过 RSA-4096 加密并附加到文件末尾。文件是根据扩展名挑选出来的,文件扩展名列在勒索软件 XML 配置中。
对于小文件(不超过 1 MB),将对整个文件进行加密。对于大于 1 MB 的文件,将使用间歇性加密 - 将文件拆分为多个块,然后分别对这些块进行加密。
勒索软件配置
DoNex 勒索软件及其先前版本的样本包含 XOR 加密配置,其中包含白名单扩展、白名单文件、要终止的服务以及其他加密相关数据的设置。以下代码片段显示了此类配置的一部分:
<?xml version='1.0' encoding='UTF-8'?>
<root>
<white_extens>
386;adv;ani;bat;bin;cab;cmd;com;cpl;cur;deskthemepack;diagcab;diagcfg;
diagpkg;dll;drv;exe;hlp;icl;icns;ico;ics;idx;lnk;mod;mpa;msc;msp;msstyles;
msu;nls;nomedia;ocx;prf;ps1;rom;rtp;scr;shs;spl;sys;theme;themepack;wpx;
lock;key;hta;msi;pdb;search-ms
</white_extens>
<white_files>
bootmgr;autorun.inf;boot.ini;bootfont.bin;bootsect.bak;desktop.ini;iconcache.db;
ntldr;ntuser.dat;ntuser.dat.log;ntuser.ini;thumbs.db;GDIPFONTCACHEV1.DAT;d3d9caps.dat
</white_files>
<white_folders>
$recycle.bin;config.msi;$windows.~bt;$windows.~ws;windows;boot;program files;
program files (x86);programdata;system volume information;tor browser;windows.old;
intel;msocache;perflogs;x64dbg;public;all users;default;microsoft;appdata
</white_folders>
<kill_keep>
sql;oracle;mysq;chrome;veeam;firefox;excel;msaccess;onenote;outlook;powerpnt;winword;wuauclt
</kill_keep>
<services>
vss;sql;svc$;memtas;mepocs;msexchange;sophos;veeam;backup;GxVss;GxBlr;GxFWD;GxCVD;GxCIMgr
</services>
<black_db>
ldf;mdf
</black_db>
<encryption_thread>
30
</encryption_thread>
...
我如何知道我是否受到了 DoNex 勒索软件的攻击?
识别您是否受到 DoNex 勒索软件攻击的最简单方法是查看勒索信。不同品牌的 DoNex 勒索软件会生成不同的勒索信,但每个版本都包含一张信。话虽如此,Fake LockBit、DarkRace 和 DoNex 勒索软件的勒索信布局非常相似。您可以在下面看到每个勒索软件的示例。
伪造的 LockBit 勒索信截图
DarkRace 勒索信截图
DoNex 勒索信截图
如何使用 DoNex 勒索软件解密器
1.在此处下载解密器。
https://files.avast.com/files/decryptor/avast_decryptor_donex.exe
2. 运行可执行文件,最好以管理员身份运行。它以向导的形式启动,引导您完成解密过程的配置。
3. 在初始页面上,我们有一个指向许可证信息的链接。准备开始时,单击下一步按钮。
4. 在下一页中,用户需要提供要解密的位置(驱动器、文件夹、文件)列表。默认情况下,它包含所有本地磁盘驱动器的列表。
5. 在下一页中,您需要提供一个原始文件的示例,然后提供一个由任何品牌的 DoNex 勒索软件加密的文件的示例。输入两个文件的名称。您也可以将文件从 Windows 资源管理器拖放到向导页面。选择一对尽可能大的文件非常重要。该工具可解密的最大文件大小等于该对中加密文件的文件大小。
6. 下一页是密码破解过程发生的地方。准备开始时,单击“开始”。此过程通常只需一秒钟,但需要大量系统内存。这就是我们强烈建议使用 64 位版本的解密工具的原因。找到密码后,您可以单击“下一步”继续解密 PC 上的所有加密文件。
7. 在最后一页,您可以选择备份加密文件。如果解密过程中出现任何问题,这些备份可能会有所帮助。此选项是默认选择的,我们推荐这样做。单击“解密”后,解密过程开始。让解密器工作并等待它完成解密所有文件。
攻击指标 (IOC)
Muse
9d5c4544bd06335c2ad2545b0d177218f84b77dd1834b22bf6a4cfe7e1de91fb
FakeLockBit 3.0
04ed1a811b3594f55486a52ab81227089c178f5c73944a3a9665d7052c3b7df9
0ec61a80e61f56f460fc42e5d4f0accec2b04c8db98c28ed4534946214076f2a
b9b4766d6b0e63f80d49e969fbd63ae90b0d1e487ef008b55c096bf46395d32e
2e397dcbcc630b492c01af9cb6033edd9c857e2881bead6956e43aefb16b6a21
91745d530a8304742b58890e798448de9fbe4ea0bc057f30ab0beb522b4bb688
2e1fd124f3e9fc238773e49bc971c882464a3686171d18ab2cd6c2859be138d1
Dark Race
74b5e2d90daaf96657e4d3d800bb20bf189bb2cf487479ea0facaf6182e0d1d3
0e60d49a967599fab179f8c885d91db25016be996d66a4e00cbb197e5085efa4
DoNex
0adde4246aaa9fb3964d1d6cf3c29b1b13074015b250eb8e5591339f92e1e3ca
B32ae94b32bcc5724d706421f915b7f7730c4fb20b04f5ab0ca830dc88dcce4e
6d6134adfdf16c8ed9513aba40845b15bd314e085ef1d6bd20040afd42e36e40
原文始发于微信公众号(Ots安全):解密:DoNex 勒索软件及其前身
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论