【工具分享】DoNex勒索病毒解密工具

前言

DoNex勒索软件首次被发现于2024年3月，是由一系列早期勒索软件演变而来，包括2022年4月首次出现的Muse、2022年11月的假冒LockBit 3.0，以及2023年5月的DarkRace。这款勒索软件主要针对美国、意大利和荷兰的企业，使用复杂的加密技术对受害者的数据进行加密。DoNex不仅通过加密文件来勒索赎金，还采用了双重勒索策略，威胁公开泄露受害者的敏感数据。这一策略极大地增加了受害者支付赎金的压力。DoNex的活动在2024年4月之后逐渐减少，其暗网网站也在同一时间下线。

特征

感染DoNex勒索软件后，文件会被加密，并根据其配置文件的设置附加不同的文件扩展名。DoNex使用ChaCha20加密算法对文件进行加密，并通过RSA-4096对生成的对称密钥进行加密。对于小于1MB的文件，DoNex会进行完全加密，而大于1MB的文件则被分块加密。此外，DoNex会生成一个赎金说明文件，通常命名为“Readme.[victim's_ID].txt”，并要求受害者支付赎金以获取解密工具。尽管DoNex在技术上表现出色，但在2024年，研究人员发现了其加密方案中的漏洞，并发布了解密工具，帮助受害者恢复数据。

工具使用说明

准备：

请确保首先从您的系统中删除恶意软件，以避免您的文件再次被加密。任何可靠的防病毒或反恶意软件解决方案都可以为您执行此操作。您也可以从受感染的计算机中提取加密文件，并在干净、未受感染的计算机中使用解密器。

此解密器需要您提供一个文件样本，该样本由加密文件和同一文件的原始版本组成，然后该文件已被恶意软件加密。请确保您可以提供满足此标准的文件，并且不要重命名加密文件或原始文件，解密器将使用文件名来识别勒索软件添加到您的加密文件中的扩展名。有关文件样本选择过程的更多信息，请参阅本手册的操作方法部分。

如果存在被恶意软件远程加密的文件，这些文件在网络连接系统上被感染设备在感染时可以访问，请查阅本手册中的高级选项部分。

开始解密：

从提供本手册的同一网站上下载DoNexDecryptor.zip文件中的解密器。
解压下载的文件，您应该在解压后的文件列表中找到解密器程序DoNexDecrypt.exe：

双击后，解密器将请求以管理员用户身份运行的权限。这对于确保解密器可以解密尽可能多的文件是必要的。通过接受 UAC 提示，允许解密器运行：

阅读免责声明并点击“同意”以继续。

一旦您同意免责声明，解密器的主屏幕将会出现：

在第一个界面上，您可以选择用于密钥恢复的文件样本。这个文件样本包括一个被恶意软件加密的文件以及该文件在加密之前的原始版本。确保您手头至少有一个这样的样本。您可以使用满足这些条件的任何可用文件，但建议使用原始未加密版本大小至少为 1MB 的样本。通过这样做，解密器可以使用与示例文件相同的密钥解密恶意软件加密的所有文件。否则，解密器将无法解密比给定样本中的原始未加密文件更大的文件。
通过点击“选择原始文件”按钮并在文件选择屏幕上挑选正确的文件作为原始未加密文件。对加密文件执行相同的操作，点击“选择加密文件”按钮。

如果所选文件样本生成的密钥不足以解密所有文件，则解密器将提示您可以解密的最大文件大小（以字节为单位）。您可以单击“是”以继续使用不完整的密钥，或者选择原始文件版本大小至少为 1MB 的样本：

一旦密钥被恢复，解密器将猜测加密文件的扩展名，并且“下一步”按钮将可用，以便继续进入解密屏界面:

按“下一步”后，显示解密界面：

在解密界面上，您可以更改加密文件扩展名，以防它与目录中的加密文件不匹配。按“添加目录”将目录添加到解密器将扫描加密文件的目录中，按“删除目录”以删除目录列表中突出显示的条目。一旦扫描列表中至少有一个目录，将启用“开始解密”按钮，并可以按下开始解密：

解密开始时，“开始解密”按钮变为“停止解密”按钮，可以按下该按钮以停止该过程。解密停止或完成后，解密器将通知是否所有文件都已成功解密，如果在解密过程中遇到任何问题，将出现提示，询问您是否要查看问题报告：

选择“是”将显示一个窗口，列出遇到的问题以及受影响的加密文件。可以在同一个窗口保存报告的.txt文件。

在此步骤中，文件已被解密，并且可能会解密更多目录。完成后，您只需按“完成”或退出解密器即可。

高级选项：

如果网络连接设备或共享上的文件被来自受感染计算机的勒索软件加密，则可以使用从本地磁盘加密的文件中恢复的密钥来解密这些文件。但是，远程加密的文件遵循不同的解密过程，可以通过更改其配置文件来指示解密器使用该过程。该文件在DoNexDecryptor.zip文件中提供，并命名为 DoNexDecrypt.exe.config：