DoNex Ransomware krypterer offerdrev
Mens vi undersøgte nye fileksempler, identificerede vi en ransomware-variant kendt som DoNex. Denne ransomware er designet til at kryptere data og tilføjer en løsesum note med titlen "Readme.[victim's_ID].txt" sammen med dens udvidelse (offerets ID) til filnavnene på alle krypterede filer.
For eksempel ændrer DoNex filnavne ved at transformere "1.jpg" til "1.jpg.f58A66B51", "2.png" til "2.png.f58A66B51" og så videre. Løsesedlen begynder med en fed advarsel om tilstedeværelsen af DoNex ransomware, der giver offeret besked om, at deres data er blevet krypteret og vil blive afsløret på et TOR-websted, medmindre løsesummen betales. Noten indeholder et link til download af Tor-browseren for at få adgang til det angivne websted.
I et forsøg på at berolige offeret understreges det i notatet, at gruppen bag DoNex er drevet af økonomiske motiver frem for politiske. De lover at levere dekrypteringsværktøjer og slette ofrets data ved betaling, hvilket understreger betydningen af deres omdømme.
Desuden giver noten mulighed for at dekryptere én fil gratis for at verificere dekrypteringsprocessen. Kontaktoplysninger til kommunikation er angivet, herunder et Tox ID, en e-mail-adresse (donexsupport@onionmail.org) og en advarsel mod sletning eller ændring af filer for at undgå komplikationer i forbindelse med gendannelse. Notatet afsluttes med en trussel om yderligere angreb på ofrets virksomhed, hvis løsesummen forbliver ubetalt.
DoNex løsesum note
Den fulde tekst af DoNex løsesumseddel lyder som følger:
DoNex ransomware warning
Your data are stolen and encryptedThe data will be published on TOR website if you do not pay the ransom
Links for Tor Browser:
What guarantees that we will not deceive you?
We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption and we will delete your data.
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.
Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.
You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9Mail (OnionMail) Support: donexsupport@onionmail.org
Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
Warning! If you do not pay the ransom we will attack your company repeatedly again!
Hvordan distribueres ransomware almindeligvis online?
Ransomware distribueres almindeligvis online gennem forskellige metoder, der drager fordel af sårbarheder og menneskelig adfærd. Her er nogle almindelige måder, hvorpå ransomware spredes:
Phishing-e-mails:
E-mailvedhæftede filer: Cyberkriminelle sender ofte phishing-e-mails med ondsindede vedhæftede filer, såsom inficerede dokumenter eller eksekverbare filer. Når den vedhæftede fil er åbnet, implementeres ransomwaren på offerets system.
Ondsindede links: Phishing-e-mails kan også indeholde links til ondsindede websteder. Hvis du klikker på disse links, kan det føre til download og udførelse af ransomware.
Malvertising:
Ondsindede reklamer eller malvertising kan findes på lovlige websteder. Ved at klikke på disse annoncer kan du omdirigere brugere til websteder, der hoster ransomware, hvilket kan føre til en utilsigtet download og infektion.
Drive-by downloads:
Ransomware kan lydløst downloades til en brugers system uden deres viden, når de besøger kompromitterede eller ondsindede websteder. Udnyttelse af sårbarheder i browsere eller plugins er en almindelig metode.
Udnyttelsessæt:
Udnyttelsessæt er værktøjssæt, der retter sig mod kendte sårbarheder i software. Hvis en brugers system har forældet software med uoprettede sårbarheder, kan udnyttelsessættet levere og udføre ransomware.
Vandhulsangreb:
Cyberkriminelle kan kompromittere websteder, der frekventeres af en bestemt målgruppe, ved at udnytte den tillid, brugerne har til disse websteder, til at levere ransomware. Dette er kendt som et vandhulsangreb.
Remote Desktop Protocol (RDP)-angreb:
Angribere kan udnytte svage adgangskoder eller standardadgangskoder på RDP-tjenester (Remote Desktop Protocol). Når først adgang er opnået, kan de manuelt implementere ransomware på offerets netværk.
Udnyttelse af sårbarheder i software er en almindelig metode. Dette inkluderer svagheder i operativsystemer, applikationer eller tjenester, der, når de ikke er patchede, giver et indgangspunkt for ransomware.
