详细内容或原文请订阅后点击阅览
拯救受害者:代码成为 DoNex 勒索软件的致命弱点
DoNex 中的一个错误开启了数据恢复之路。
来源:安全实验室新闻频道DoNex 中的一个错误开启了数据恢复之路。
Avast 专家发现 DoNex 勒索软件及其前身的加密方案中存在漏洞。对此,研究人员与执法机构一起开始秘密向病毒受害者提供解密器。 Recon 2024 会议上宣布了该漏洞的发现,随后有关解密器的信息被公开。
Avast 检测到漏洞 侦察 2024,自 2022 年 4 月以来,DoNex 计划经历了多个品牌重塑阶段,从第一个名为 Muse 的版本开始。经过多次修改,最新版本被命名为DoNex。自2024年4月以来,该病毒已停止开发,也没有发现新的样本,表明该勒索软件正在消退。
DoNex 积极攻击其受害者,尤其是在美国、意大利和荷兰。该程序采用有针对性的攻击方法,由于其适应和变化的能力而特别危险。
DoNex 中的加密过程涉及使用 CryptGenRandom() 函数生成密钥,然后使用该密钥初始化 ChaCha20 对称密钥并加密文件。加密后的文件密钥使用 RSA-4096 进行加密并附加到文件末尾。此外,DoNex 的目标文件具有在其 XML 配置中指定的特定扩展名。
DoNex 的一个重要功能是小于 1 MB 的文件被完全加密,而较大的文件则被部分加密 - 分成块,然后单独加密。