DoNex Ransomware crypte les lecteurs des victimes

En examinant de nouveaux échantillons de fichiers, nous avons identifié une variante de ransomware connue sous le nom de DoNex. Ce ransomware est conçu pour crypter les données et ajoute une note de rançon intitulée « Readme.[victim's_ID].txt » ainsi que son extension (identifiant de la victime) aux noms de fichiers de tous les fichiers cryptés.

Par exemple, DoNex modifie les noms de fichiers en transformant « 1.jpg » en « 1.jpg.f58A66B51 », « 2.png » en « 2.png.f58A66B51 », etc. La demande de rançon commence par un avertissement audacieux concernant la présence du ransomware DoNex, informant la victime que ses données ont été cryptées et seront exposées sur un site Web TOR à moins que la rançon ne soit payée. La note comprend un lien pour télécharger le navigateur Tor pour accéder au site Web spécifié.

Pour tenter de rassurer la victime, la note souligne que le groupe derrière DoNex est motivé par des motivations financières plutôt que politiques. Ils s'engagent à fournir des outils de décryptage et à effacer les données de la victime lors du paiement, soulignant ainsi l'importance de leur réputation.

De plus, la note offre la possibilité de décrypter gratuitement un fichier pour vérifier le processus de décryptage. Les coordonnées pour la communication sont fournies, y compris un identifiant Tox, une adresse e-mail (donexsupport@onionmail.org) et une mise en garde contre la suppression ou la modification de fichiers pour éviter des complications lors de la récupération. La note se termine par une menace d'attaques supplémentaires contre l'entreprise de la victime si la rançon reste impayée.

Note de rançon DoNex

Le texte intégral de la demande de rançon DoNex se lit comme suit :

DoNex ransomware warning
Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!

Comment les ransomwares sont-ils généralement distribués en ligne ?

Les ransomwares sont généralement distribués en ligne via diverses méthodes, tirant parti des vulnérabilités et du comportement humain. Voici quelques modes de propagation courants des ransomwares :

E-mails de phishing :
Pièces jointes aux e-mails : les cybercriminels envoient souvent des e-mails de phishing contenant des pièces jointes malveillantes, telles que des documents ou des exécutables infectés. Une fois la pièce jointe ouverte, le ransomware est déployé sur le système de la victime.
Liens malveillants : les e-mails de phishing peuvent également contenir des liens vers des sites Web malveillants. Cliquer sur ces liens peut conduire au téléchargement et à l’exécution d’un ransomware.

Publicité malveillante :
Des publicités malveillantes, ou malvertising, peuvent être trouvées sur des sites Web légitimes. Cliquer sur ces publicités peut rediriger les utilisateurs vers des sites hébergeant des ransomwares, entraînant un téléchargement et une infection involontaires.

Téléchargements au volant :
Les ransomwares peuvent être téléchargés silencieusement sur le système d'un utilisateur à son insu lors de la visite de sites Web compromis ou malveillants. L’exploitation des vulnérabilités des navigateurs ou des plugins est une méthode courante.

Kits d'exploitation :
Les kits d’exploit sont des kits d’outils qui ciblent les vulnérabilités connues des logiciels. Si le système d'un utilisateur dispose d'un logiciel obsolète avec des vulnérabilités non corrigées, le kit d'exploitation peut fournir et exécuter un ransomware.

Attaques de points d’eau :
Les cybercriminels peuvent compromettre les sites Web fréquentés par un groupe cible spécifique, en exploitant la confiance que les utilisateurs accordent à ces sites pour diffuser des ransomwares. C’est ce qu’on appelle une attaque de point d’eau.

Attaques du protocole de bureau à distance (RDP) :
Les attaquants peuvent exploiter des mots de passe faibles ou par défaut sur les services RDP (Remote Desktop Protocol). Une fois l'accès obtenu, ils peuvent déployer manuellement le ransomware sur le réseau de la victime.

L’exploitation des vulnérabilités des logiciels est une méthode courante. Cela inclut les faiblesses des systèmes d’exploitation, des applications ou des services qui, lorsqu’elles ne sont pas corrigées, constituent un point d’entrée pour les ransomwares.