来自捷克的密钥反病毒软件开发商 Avast 日前向全球用户公布了 DoNex 勒索软件的解密密钥,该勒索软件最初名为 Muse、捷克件开解D解密后来又改名冒充 Lockbit 3.0,反病发商接着改成 DarkRace 直到 2024 年 3 月更名为 DoNex。毒软洞破
当 DoNex 通过某种方式感染用户设备后,利勒索蓝点就会启用 CryptGemRandom () 函数生成一个加密密钥,用漏然后利用该密钥初始化 ChaCha20 对称密钥,软件iPhone 13 Pro Max手机 极出彩再使用这个对称密钥加密文件。密钥
在实际运行中当碰到小于 1MB 的捷克件开解D解密文件时 DoNex 会直接加密文件,当碰到大文件时则会将文件分割为多个小块然后间歇性加密,或许这是从性能角度考虑的,即通过分割文件实现更快的加密。
文件被加密后,对称密钥则会通过 RSA-4096 加密算法附在文件的末尾,依靠潜在的漏洞 Avast 成功破解了该勒索软件,可以通过破解器找出解密密钥。
Avast 证实该公司自 2024 年 3 月份开始就在秘密向受害用户提供解密器,到 4 月份 DoNex 的暗网站点被关闭后并未恢复,这意味着 DoNex 可能不再活跃,所以 Avast 公布了解密器。
如果一开始发现漏洞就公布解密器的话,勒索软件团伙可能会修复问题导致无法再进行破解,这也是 Avast 一直悄悄提供解密器没有宣扬的原因。
有趣的是大多数勒索软件都不会将俄罗斯当做目标市场,但俄罗斯却在 DoNex 勒索软件中是重灾区之一,这似乎也可以说明其开发者并不是俄罗斯黑客。
破解器方面,所有用户都可以从 Avast 下载 DoNex 的破解器然后找出密钥,只不过破解过程非常耗费内存,如果内存比较大可能只需要 1 秒钟就可以找到恢复密钥,有恢复密钥后恢复文件就非常容易了,尽管恢复所有文件可能也许几个小时甚至几天。
破解器下载地址:https://files.avast.com/files/decryptor/avast_decryptor_donex.exe