A DoNex Ransomware titkosítja az áldozat meghajtóit
Az új fájlminták vizsgálata során egy DoNex néven ismert ransomware-változatot azonosítottunk. Ezt a zsarolóprogramot az adatok titkosítására tervezték, és az összes titkosított fájl fájlnevéhez egy "Olvasd el.[áldozat_azonosítója].txt" címmel váltságdíj-jegyzetet csatol a kiterjesztésével (áldozatazonosító).
Például a DoNex megváltoztatja a fájlneveket az „1.jpg” „1.jpg.f58A66B51”, a „2.png” a „2.png.f58A66B51” és így tovább. A váltságdíj feljegyzése a DoNex ransomware jelenlétére vonatkozó félkövér figyelmeztetéssel kezdődik, amely értesíti az áldozatot, hogy adatait titkosították, és a váltságdíj kifizetése nélkül közzéteszik a TOR webhelyén. A megjegyzés tartalmaz egy hivatkozást a Tor Browser letöltéséhez a megadott webhely eléréséhez.
Az áldozat megnyugtatása érdekében a feljegyzés hangsúlyozza, hogy a DoNex mögött álló csoportot nem politikai, hanem pénzügyi indítékok vezérlik. Megígérik, hogy visszafejtő eszközöket biztosítanak, és fizetéskor törlik az áldozat adatait, hangsúlyozva hírnevük jelentőségét.
Ezenkívül a jegyzet lehetőséget kínál egy fájl ingyenes visszafejtésére a visszafejtési folyamat ellenőrzéséhez. Megadják a kommunikációhoz szükséges elérhetőségeket, beleértve a Tox ID-t, az e-mail címet (donexsupport@onionmail.org), valamint a fájlok törlésére vagy módosítására vonatkozó figyelmeztetést, hogy elkerüljék a helyreállítás során felmerülő bonyodalmakat. A feljegyzés azzal a fenyegetéssel zárul, hogy további támadásokkal fenyegetik az áldozat cégét, ha a váltságdíjat nem fizetik ki.
DoNex Ransom Note
A DoNex váltságdíjról szóló értesítés teljes szövege a következő:
DoNex ransomware warning
Your data are stolen and encryptedThe data will be published on TOR website if you do not pay the ransom
Links for Tor Browser:
What guarantees that we will not deceive you?
We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption and we will delete your data.
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.
Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.
You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9Mail (OnionMail) Support: donexsupport@onionmail.org
Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
Warning! If you do not pay the ransom we will attack your company repeatedly again!
Hogyan történik a Ransomware általánosan online terjesztése?
A zsarolóprogramokat gyakran online terjesztik különféle módszerekkel, kihasználva a sebezhetőségeket és az emberi viselkedést. Íme néhány gyakori módja a zsarolóvírusok terjedésének:
Adathalász e-mailek:
E-mail mellékletek: A kiberbűnözők gyakran küldenek adathalász e-maileket rosszindulatú mellékletekkel, például fertőzött dokumentumokkal vagy végrehajtható fájlokkal. A melléklet megnyitása után a zsarolóprogram telepítésre kerül az áldozat rendszerén.
Rosszindulatú linkek: Az adathalász e-mailek rosszindulatú webhelyekre mutató hivatkozásokat is tartalmazhatnak. Ezekre a linkekre kattintva ransomware letölthető és végrehajtható.
Rosszindulatú hirdetés:
Rosszindulatú hirdetések vagy rosszindulatú hirdetések találhatók legális webhelyeken. Az ezekre a hirdetésekre kattintva átirányíthatja a felhasználókat ransomware-t tartalmazó webhelyekre, ami véletlen letöltéshez és fertőzéshez vezethet.
Drive-by letöltések:
A zsarolóprogramok csendben letölthetők a felhasználó rendszerére, a tudta nélkül, amikor feltört vagy rosszindulatú webhelyeket látogatnak meg. A böngészőkben vagy a bővítményekben lévő sebezhetőségek kihasználása elterjedt módszer.
Exploit készletek:
Az exploit kitek olyan eszközkészletek, amelyek a szoftverek ismert sebezhetőségeit célozzák meg. Ha a felhasználó rendszerében elavult szoftverek vannak javítatlan sebezhetőségekkel, a kizsákmányoló készlet képes ransomware-t szállítani és végrehajtani.
Öntözési lyuk támadásai:
A kiberbűnözők feltörhetik az adott célcsoport által látogatott webhelyeket, kihasználva a felhasználók bizalmát ezekben a webhelyekben, hogy zsarolóvírusokat küldjenek el. Ezt itatós támadásnak nevezik.
Távoli asztali protokoll (RDP) támadások:
A támadók kihasználhatják a távoli asztali protokoll (RDP) szolgáltatások gyenge vagy alapértelmezett jelszavait. A hozzáférés megszerzése után manuálisan telepíthetik a ransomware-t az áldozat hálózatára.
A szoftverek sebezhetőségeinek kihasználása elterjedt módszer. Ide tartoznak az operációs rendszerek, alkalmazások vagy szolgáltatások gyengeségei, amelyek javítás nélkül belépési pontot biztosítanak a ransomware számára.
