DoNex Ransomware verschlüsselt die Laufwerke der Opfer
Bei der Untersuchung neuer Dateibeispiele haben wir eine Ransomware-Variante namens DoNex identifiziert. Diese Ransomware wurde entwickelt, um Daten zu verschlüsseln und fügt den Dateinamen aller verschlüsselten Dateien eine Lösegeldforderung mit dem Titel „Readme.[victim's_ID].txt“ zusammen mit ihrer Erweiterung (Opfer-ID) hinzu.
DoNex ändert beispielsweise Dateinamen, indem es „1.jpg“ in „1.jpg.f58A66B51“, „2.png“ in „2.png.f58A66B51“ usw. umwandelt. Der Lösegeldschein beginnt mit einer fett gedruckten Warnung vor dem Vorhandensein der DoNex-Ransomware, die das Opfer darüber informiert, dass seine Daten verschlüsselt wurden und auf einer TOR-Website offengelegt werden, sofern das Lösegeld nicht gezahlt wird. Der Hinweis enthält einen Link zum Herunterladen des Tor-Browsers für den Zugriff auf die angegebene Website.
Um das Opfer zu beruhigen, wird in der Notiz betont, dass die Gruppe hinter DoNex eher von finanziellen als von politischen Motiven angetrieben wird. Sie verpflichten sich, Entschlüsselungstools zur Verfügung zu stellen und die Daten des Opfers bei Zahlung zu löschen, was die Bedeutung ihres Rufs unterstreicht.
Darüber hinaus bietet der Hinweis die Möglichkeit, eine Datei kostenlos zu entschlüsseln, um den Entschlüsselungsprozess zu überprüfen. Es werden Kontaktdaten für die Kommunikation bereitgestellt, darunter eine Tox-ID, eine E-Mail-Adresse (donexsupport@onionmail.org) und ein Warnhinweis vor dem Löschen oder Ändern von Dateien, um Komplikationen bei der Wiederherstellung zu vermeiden. Die Notiz endet mit der Androhung weiterer Angriffe auf das Unternehmen des Opfers, falls das Lösegeld nicht gezahlt wird.
DoNex-Lösegeldschein
Der vollständige Text der DoNex-Lösegeldforderung lautet wie folgt:
DoNex ransomware warning
Your data are stolen and encryptedThe data will be published on TOR website if you do not pay the ransom
Links for Tor Browser:
What guarantees that we will not deceive you?
We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption and we will delete your data.
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.
Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.
You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9Mail (OnionMail) Support: donexsupport@onionmail.org
Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
Warning! If you do not pay the ransom we will attack your company repeatedly again!
Wie wird Ransomware häufig online verbreitet?
Ransomware wird häufig über verschiedene Methoden online verbreitet und nutzt dabei Schwachstellen und menschliches Verhalten aus. Hier sind einige gängige Wege zur Verbreitung von Ransomware:
Phishing-E-Mails:
E-Mail-Anhänge: Cyberkriminelle versenden häufig Phishing-E-Mails mit bösartigen Anhängen, beispielsweise infizierten Dokumenten oder ausführbaren Dateien. Sobald der Anhang geöffnet wird, wird die Ransomware auf dem System des Opfers verteilt.
Schädliche Links: Phishing-E-Mails können auch Links zu schädlichen Websites enthalten. Das Klicken auf diese Links kann zum Herunterladen und Ausführen von Ransomware führen.
Malvertising:
Schädliche Werbung oder Malvertising kann auf seriösen Websites gefunden werden. Durch Klicken auf diese Anzeigen werden Benutzer möglicherweise auf Websites weitergeleitet, auf denen Ransomware gehostet wird, was zu einem unbeabsichtigten Download und einer Infektion führt.
Drive-by-Downloads:
Beim Besuch kompromittierter oder bösartiger Websites kann Ransomware ohne deren Wissen stillschweigend auf das System eines Benutzers heruntergeladen werden. Das Ausnutzen von Schwachstellen in Browsern oder Plugins ist eine gängige Methode.
Exploit-Kits:
Exploit-Kits sind Toolkits, die auf bekannte Schwachstellen in Software abzielen. Wenn das System eines Benutzers über veraltete Software mit ungepatchten Schwachstellen verfügt, kann das Exploit-Kit Ransomware einschleusen und ausführen.
Watering-Hole-Angriffe:
Cyberkriminelle können Websites kompromittieren, die von einer bestimmten Zielgruppe besucht werden, und das Vertrauen der Benutzer in diese Websites ausnutzen, um Ransomware zu verbreiten. Dies wird als Watering-Hole-Angriff bezeichnet.
RDP-Angriffe (Remote Desktop Protocol):
Angreifer können schwache oder Standardkennwörter für RDP-Dienste (Remote Desktop Protocol) ausnutzen. Sobald sie Zugriff erhalten, können sie Ransomware manuell im Netzwerk des Opfers verteilen.
Das Ausnutzen von Schwachstellen in Software ist eine gängige Methode. Dazu gehören Schwachstellen in Betriebssystemen, Anwendungen oder Diensten, die, wenn sie nicht gepatcht werden, einen Einstiegspunkt für Ransomware darstellen.
