#安全资讯 捷克反病毒软件开发商 AVAST 利用漏洞破解 DoNex/DarkRace 勒索软件，破解后可以找出勒索软件使用的加密密钥并解密文件。如果用户曾被 Muse、DarkRace、DoNex 感染并加密了文件，可以使用这个破解器找出恢复密钥。下载地址：https://ourl.co/104864

来自捷克的反病毒软件开发商 Avast 日前向全球用户公布了 DoNex 勒索软件的解密密钥，该勒索软件最初名为 Muse、后来又改名冒充 Lockbit 3.0，接着改成 DarkRace 直到 2024 年 3 月更名为 DoNex。

当 DoNex 通过某种方式感染用户设备后，就会启用 CryptGemRandom () 函数生成一个加密密钥，然后利用该密钥初始化 ChaCha20 对称密钥，再使用这个对称密钥加密文件。

在实际运行中当碰到小于 1MB 的文件时 DoNex 会直接加密文件，当碰到大文件时则会将文件分割为多个小块然后间歇性加密，或许这是从性能角度考虑的，即通过分割文件实现更快的加密。

文件被加密后，对称密钥则会通过 RSA-4096 加密算法附在文件的末尾，依靠潜在的漏洞 Avast 成功破解了该勒索软件，可以通过破解器找出解密密钥。

Avast 证实该公司自 2024 年 3 月份开始就在秘密向受害用户提供解密器，到 4 月份 DoNex 的暗网站点被关闭后并未恢复，这意味着 DoNex 可能不再活跃，所以 Avast 公布了解密器。

如果一开始发现漏洞就公布解密器的话，勒索软件团伙可能会修复问题导致无法再进行破解，这也是 Avast 一直悄悄提供解密器没有宣扬的原因。

有趣的是大多数勒索软件都不会将俄罗斯当做目标市场，但俄罗斯却在 DoNex 勒索软件中是重灾区之一，这似乎也可以说明其开发者并不是俄罗斯黑客。

破解器方面，所有用户都可以从 Avast 下载 DoNex 的破解器然后找出密钥，只不过破解过程非常耗费内存，如果内存比较大可能只需要 1 秒钟就可以找到恢复密钥，有恢复密钥后恢复文件就非常容易了，尽管恢复所有文件可能也许几个小时甚至几天。

破解器下载地址：https://files.avast.com/files/decryptor/avast_decryptor_donex.exe