解密:DoNex 勒索软件及其前身

admin 2024年7月10日12:52:28评论35 views字数 3406阅读11分21秒阅读模式

解密:DoNex 勒索软件及其前身

Avast 的研究人员发现了 DoNex 勒索软件及其前身的加密方案存在缺陷。我们与执法机构合作,自 2024 年 3 月以来一直在默默地向 DoNex 勒索软件受害者提供解密器。加密漏洞已在 Recon 2024 上公开,因此我们没有理由再保守这个秘密。

DoNex 及其兄弟公司

DoNex 勒索软件已多次更名。第一个品牌名为 Muse,于 2022 年 4 月出现。随后经过多次演变,最终形成了勒索软件的最终版本,名为 DoNex。自 2024 年 4 月以来,DoNex 似乎已停止演变,因为自那以后我们没有检测到任何新样本。此外,勒索软件的 TOR 网站从那时起就一直处于瘫痪状态。以下是 DoNex 的简要历史。

  • 2022 年 4 月Muse 勒索软件的第一个样本

  • 2022 年 11 月重新命名为假的 LockBit 3.0

  • 2023 年 5 月更名为 DarkRace

  • 2024 年 3 月更名为 DoNex

解密器支持所有品牌的 DoNex 勒索软件。

DoNex 对受害者采取有针对性的攻击方式,根据我们的遥测数据,它在美国、意大利和荷兰最为活跃。

解密:DoNex 勒索软件及其前身

勒索软件加密方案

在勒索软件执行期间,CryptGenRandom()函数会生成一个加密密钥。然后,此密钥用于初始化 ChaCha20 对称密钥,随后用于加密文件。文件加密后,对称文件密钥通过 RSA-4096 加密并附加到文件末尾。文件是根据扩展名挑选出来的,文件扩展名列在勒索软件 XML 配置中。

对于小文件(不超过 1 MB),将对整个文件进行加密。对于大于 1 MB 的文件,将使用间歇性加密 - 将文件拆分为多个块,然后分别对这些块进行加密。

勒索软件配置

DoNex 勒索软件及其先前版本的样本包含 XOR 加密配置,其中包含白名单扩展、白名单文件、要终止的服务以及其他加密相关数据的设置。以下代码片段显示了此类配置的一部分:

<?xml version='1.0' encoding='UTF-8'?><root>    <white_extens>        386;adv;ani;bat;bin;cab;cmd;com;cpl;cur;deskthemepack;diagcab;diagcfg;        diagpkg;dll;drv;exe;hlp;icl;icns;ico;ics;idx;lnk;mod;mpa;msc;msp;msstyles;        msu;nls;nomedia;ocx;prf;ps1;rom;rtp;scr;shs;spl;sys;theme;themepack;wpx;        lock;key;hta;msi;pdb;search-ms    </white_extens>    <white_files>        bootmgr;autorun.inf;boot.ini;bootfont.bin;bootsect.bak;desktop.ini;iconcache.db;        ntldr;ntuser.dat;ntuser.dat.log;ntuser.ini;thumbs.db;GDIPFONTCACHEV1.DAT;d3d9caps.dat    </white_files>    <white_folders>        $recycle.bin;config.msi;$windows.~bt;$windows.~ws;windows;boot;program files;        program files (x86);programdata;system volume information;tor browser;windows.old;        intel;msocache;perflogs;x64dbg;public;all users;default;microsoft;appdata    </white_folders>     <kill_keep>        sql;oracle;mysq;chrome;veeam;firefox;excel;msaccess;onenote;outlook;powerpnt;winword;wuauclt    </kill_keep>    <services>        vss;sql;svc$;memtas;mepocs;msexchange;sophos;veeam;backup;GxVss;GxBlr;GxFWD;GxCVD;GxCIMgr    </services>    <black_db>        ldf;mdf    </black_db>    <encryption_thread>        30    </encryption_thread>    ...

我如何知道我是否受到了 DoNex 勒索软件的攻击?

识别您是否受到 DoNex 勒索软件攻击的最简单方法是查看勒索信。不同品牌的 DoNex 勒索软件会生成不同的勒索信,但每个版本都包含一张信。话虽如此,Fake LockBit、DarkRace 和 DoNex 勒索软件的勒索信布局非常相似。您可以在下面看到每个勒索软件的示例。

解密:DoNex 勒索软件及其前身

Muse 勒索信截图

解密:DoNex 勒索软件及其前身

伪造的 LockBit 勒索信截图

解密:DoNex 勒索软件及其前身

DarkRace 勒索信截图

解密:DoNex 勒索软件及其前身

DoNex 勒索信截图

如何使用 DoNex 勒索软件解密器

1.在此处下载解密器

https://files.avast.com/files/decryptor/avast_decryptor_donex.exe

2. 运行可执行文件,最好以管理员身份运行。它以向导的形式启动,引导您完成解密过程的配置。

3. 在初始页面上,我们有一个指向许可证信息的链接。准备开始时,单击下一步按钮。

解密:DoNex 勒索软件及其前身

4. 在下一页中,用户需要提供要解密的位置(驱动器、文件夹、文件)列表。默认情况下,它包含所有本地磁盘驱动器的列表。

解密:DoNex 勒索软件及其前身

5. 在下一页中,您需要提供一个原始文件的示例,然后提供一个由任何品牌的 DoNex 勒索软件加密的文件的示例。输入两个文件的名称。您也可以将文件从 Windows 资源管理器拖放到向导页面。选择一对尽可能大的文件非常重要。该工具可解密的最大文件大小等于该对中加密文件的文件大小。

解密:DoNex 勒索软件及其前身

6. 下一页是密码破解过程发生的地方。准备开始时,单击“开始”。此过程通常只需一秒钟,但需要大量系统内存。这就是我们强烈建议使用 64 位版本的解密工具的原因。找到密码后,您可以单击“下一步”继续解密 PC 上的所有加密文件。

解密:DoNex 勒索软件及其前身

7. 在最后一页,您可以选择备份加密文件。如果解密过程中出现任何问题,这些备份可能会有所帮助。此选项是默认选择的,我们推荐这样做。单击“解密”后,解密过程开始。让解密器工作并等待它完成解密所有文件。

解密:DoNex 勒索软件及其前身

攻击指标 (IOC)

Muse9d5c4544bd06335c2ad2545b0d177218f84b77dd1834b22bf6a4cfe7e1de91fbFakeLockBit 3.004ed1a811b3594f55486a52ab81227089c178f5c73944a3a9665d7052c3b7df90ec61a80e61f56f460fc42e5d4f0accec2b04c8db98c28ed4534946214076f2ab9b4766d6b0e63f80d49e969fbd63ae90b0d1e487ef008b55c096bf46395d32e2e397dcbcc630b492c01af9cb6033edd9c857e2881bead6956e43aefb16b6a2191745d530a8304742b58890e798448de9fbe4ea0bc057f30ab0beb522b4bb6882e1fd124f3e9fc238773e49bc971c882464a3686171d18ab2cd6c2859be138d1Dark Race74b5e2d90daaf96657e4d3d800bb20bf189bb2cf487479ea0facaf6182e0d1d30e60d49a967599fab179f8c885d91db25016be996d66a4e00cbb197e5085efa4DoNex0adde4246aaa9fb3964d1d6cf3c29b1b13074015b250eb8e5591339f92e1e3caB32ae94b32bcc5724d706421f915b7f7730c4fb20b04f5ab0ca830dc88dcce4e6d6134adfdf16c8ed9513aba40845b15bd314e085ef1d6bd20040afd42e36e40

原文始发于微信公众号(Ots安全):解密:DoNex 勒索软件及其前身

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月10日12:52:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   解密:DoNex 勒索软件及其前身https://cn-sec.com/archives/2938889.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息