Avast公司近日公布了DoNex勒索软件的解密密钥，该软件曾更名多次，最终在2024年3月定名为DoNex。它通过特定方式感染设备，利用对称密钥加密文件，并在文件末尾附上加密的对称密钥。Avast秘密提供解密器给受害用户，直至DoNex活动停止后才公开。

🔍 Avast揭露DoNex勒索软件：DoNex勒索软件经历多次更名，最终在2024年3月定为DoNex。它通过感染设备后使用CryptGemRandom()函数生成加密密钥，并利用ChaCha20对称密钥加密文件，大文件则分割加密。

🔐 解密技术细节：DoNex在文件加密后，使用RSA-4096算法将对称密钥加密附在文件末尾。Avast利用勒索软件的漏洞，开发出破解器，能够找出解密密钥。

🕵️ Avast的秘密行动：自2024年3月起，Avast秘密向受害用户提供解密器，直到4月DoNex暗网站点关闭，表明DoNex可能已停止活动，此时Avast才公布解密器。

🔧 破解器的使用：所有用户都可以下载Avast提供的DoNex破解器，通过高内存消耗的过程来找到恢复密钥，进而恢复文件，可能需时数小时甚至数天。

🌐 俄罗斯成重灾区：值得注意的是，大多数勒索软件不针对俄罗斯市场，但DoNex却将俄罗斯作为攻击目标之一，这可能表明开发者非俄罗斯黑客。

来自捷克的反病毒软件开发商 Avast 日前向全球用户公布了 DoNex 勒索软件的解密密钥，该勒索软件最初名为 Muse、后来又改名冒充 Lockbit 3.0，接着改成 DarkRace 直到 2024 年 3 月更名为 DoNex。

当 DoNex 通过某种方式感染用户设备后，就会启用 CryptGemRandom () 函数生成一个加密密钥，然后利用该密钥初始化 ChaCha20 对称密钥，再使用这个对称密钥加密文件。

在实际运行中当碰到小于 1MB 的文件时 DoNex 会直接加密文件，当碰到大文件时则会将文件分割为多个小块然后间歇性加密，或许这是从性能角度考虑的，即通过分割文件实现更快的加密。

文件被加密后，对称密钥则会通过 RSA-4096 加密算法附在文件的末尾，依靠潜在的漏洞 Avast 成功破解了该勒索软件，可以通过破解器找出解密密钥。

Avast 证实该公司自 2024 年 3 月份开始就在秘密向受害用户提供解密器，到 4 月份 DoNex 的暗网站点被关闭后并未恢复，这意味着 DoNex 可能不再活跃，所以 Avast 公布了解密器。

如果一开始发现漏洞就公布解密器的话，勒索软件团伙可能会修复问题导致无法再进行破解，这也是 Avast 一直悄悄提供解密器没有宣扬的原因。

有趣的是大多数勒索软件都不会将俄罗斯当做目标市场，但俄罗斯却在 DoNex 勒索软件中是重灾区之一，这似乎也可以说明其开发者并不是俄罗斯黑客。

破解器方面，所有用户都可以从 Avast 下载 DoNex 的破解器然后找出密钥，只不过破解过程非常耗费内存，如果内存比较大可能只需要 1 秒钟就可以找到恢复密钥，有恢复密钥后恢复文件就非常容易了，尽管恢复所有文件可能也许几个小时甚至几天。

破解器下载地址：https://files.avast.com/files/decryptor/avast_decryptor_donex.exe