Το DoNex Ransomware κρυπτογραφεί τις μονάδες δίσκου θυμάτων

Κατά την εξέταση νέων δειγμάτων αρχείων, εντοπίσαμε μια παραλλαγή ransomware γνωστή ως DoNex. Αυτό το ransomware έχει σχεδιαστεί για να κρυπτογραφεί δεδομένα και προσαρτά μια σημείωση λύτρων με τίτλο "Readme.[victim's_ID].txt" μαζί με την επέκτασή του (αναγνωριστικό θύματος) στα ονόματα αρχείων όλων των κρυπτογραφημένων αρχείων.

Για παράδειγμα, το DoNex αλλάζει τα ονόματα αρχείων μετατρέποντας το "1.jpg" σε "1.jpg.f58A66B51", το "2.png" σε "2.png.f58A66B51" και ούτω καθεξής. Το σημείωμα λύτρων ξεκινά με μια τολμηρή προειδοποίηση σχετικά με την παρουσία του ransomware DoNex, ειδοποιώντας το θύμα ότι τα δεδομένα του έχουν κρυπτογραφηθεί και θα εκτεθούν σε έναν ιστότοπο TOR εκτός εάν καταβληθούν τα λύτρα. Η σημείωση περιλαμβάνει έναν σύνδεσμο για τη λήψη του προγράμματος περιήγησης Tor για πρόσβαση στον καθορισμένο ιστότοπο.

Σε μια προσπάθεια να καθησυχάσει το θύμα, το σημείωμα τονίζει ότι η ομάδα πίσω από το DoNex καθοδηγείται από οικονομικά κίνητρα και όχι από πολιτικά. Δεσμεύονται να παρέχουν εργαλεία αποκρυπτογράφησης και να διαγράψουν τα δεδομένα του θύματος κατά την πληρωμή, υπογραμμίζοντας τη σημασία της φήμης τους.

Επιπλέον, η σημείωση προσφέρει τη δυνατότητα αποκρυπτογράφησης ενός αρχείου δωρεάν για την επαλήθευση της διαδικασίας αποκρυπτογράφησης. Παρέχονται στοιχεία επικοινωνίας για επικοινωνία, συμπεριλαμβανομένου ενός Tox ID, μιας διεύθυνσης ηλεκτρονικού ταχυδρομείου (donexsupport@onionmail.org) και μιας προειδοποίησης κατά της διαγραφής ή τροποποίησης αρχείων για την αποφυγή επιπλοκών στην ανάκτηση. Το σημείωμα ολοκληρώνεται με την απειλή πρόσθετων επιθέσεων στην εταιρεία του θύματος εάν τα λύτρα παραμείνουν απλήρωτα.

Σημείωση DoNex Ransom

Το πλήρες κείμενο του σημειώματος λύτρων DoNex έχει ως εξής:

DoNex ransomware warning
Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!

Πώς το Ransomware διανέμεται συνήθως στο διαδίκτυο;

Το ransomware διανέμεται συνήθως στο διαδίκτυο μέσω διαφόρων μεθόδων, εκμεταλλευόμενοι τα τρωτά σημεία και την ανθρώπινη συμπεριφορά. Ακολουθούν ορισμένοι συνήθεις τρόποι διάδοσης ransomware:

Email ηλεκτρονικού ψαρέματος:
Συνημμένα email: Οι εγκληματίες του κυβερνοχώρου συχνά στέλνουν μηνύματα ηλεκτρονικού ψαρέματος με κακόβουλα συνημμένα, όπως μολυσμένα έγγραφα ή εκτελέσιμα αρχεία. Μόλις ανοίξει το συνημμένο, το ransomware αναπτύσσεται στο σύστημα του θύματος.
Κακόβουλοι σύνδεσμοι: Τα μηνύματα ηλεκτρονικού ψαρέματος μπορεί επίσης να περιέχουν συνδέσμους προς κακόβουλους ιστότοπους. Κάνοντας κλικ σε αυτούς τους συνδέσμους μπορεί να οδηγήσει στη λήψη και την εκτέλεση του ransomware.

Κακή διαφήμιση:
Κακόβουλες διαφημίσεις ή κακόβουλες διαφημίσεις μπορούν να βρεθούν σε νόμιμους ιστότοπους. Το κλικ σε αυτές τις διαφημίσεις μπορεί να ανακατευθύνει τους χρήστες σε ιστότοπους που φιλοξενούν ransomware, οδηγώντας σε ακούσια λήψη και μόλυνση.

Λήψεις Drive-by:
Το Ransomware μπορεί να μεταφορτωθεί σιωπηλά στο σύστημα ενός χρήστη χωρίς να το γνωρίζει όταν επισκέπτεται παραβιασμένους ή κακόβουλους ιστότοπους. Η εκμετάλλευση ευπαθειών σε προγράμματα περιήγησης ή πρόσθετα είναι μια κοινή μέθοδος.

Κιτ εκμετάλλευσης:
Τα κιτ εκμετάλλευσης είναι κιτ εργαλείων που στοχεύουν γνωστά τρωτά σημεία στο λογισμικό. Εάν το σύστημα ενός χρήστη έχει απαρχαιωμένο λογισμικό με μη επιδιορθωμένα τρωτά σημεία, το κιτ εκμετάλλευσης μπορεί να παραδώσει και να εκτελέσει ransomware.

Επιθέσεις ποτίσματος:
Οι εγκληματίες του κυβερνοχώρου ενδέχεται να παραβιάσουν ιστότοπους στους οποίους συχνάζει μια συγκεκριμένη ομάδα στόχου, εκμεταλλευόμενοι την εμπιστοσύνη που έχουν οι χρήστες σε αυτούς τους ιστότοπους για την παράδοση ransomware. Αυτό είναι γνωστό ως επίθεση από τρύπα ποτίσματος.

Επιθέσεις Remote Desktop Protocol (RDP):
Οι εισβολείς ενδέχεται να εκμεταλλευτούν αδύναμους ή προεπιλεγμένους κωδικούς πρόσβασης σε υπηρεσίες πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP). Μόλις αποκτηθεί πρόσβαση, μπορούν να αναπτύξουν μη αυτόματα ransomware στο δίκτυο του θύματος.

Η εκμετάλλευση των τρωτών σημείων στο λογισμικό είναι μια κοινή μέθοδος. Αυτό περιλαμβάνει αδυναμίες σε λειτουργικά συστήματα, εφαρμογές ή υπηρεσίες που, όταν δεν επιδιορθωθούν, παρέχουν ένα σημείο εισόδου για ransomware.