DoNex Ransomware crittografa le unità delle vittime
Durante l'esame di nuovi campioni di file, abbiamo identificato una variante del ransomware nota come DoNex. Questo ransomware è progettato per crittografare i dati e aggiunge una richiesta di riscatto intitolata "Readme.[victim's_ID].txt" insieme alla sua estensione (ID della vittima) ai nomi di file di tutti i file crittografati.
Ad esempio, DoNex altera i nomi dei file trasformando "1.jpg" in "1.jpg.f58A66B51", "2.png" in "2.png.f58A66B51" e così via. La richiesta di riscatto inizia con un avvertimento audace sulla presenza del ransomware DoNex, notificando alla vittima che i suoi dati sono stati crittografati e verranno esposti su un sito Web TOR a meno che non venga pagato il riscatto. La nota include un collegamento per scaricare Tor Browser per accedere al sito Web specificato.
Nel tentativo di rassicurare la vittima, la nota sottolinea che il gruppo dietro DoNex è guidato da motivazioni finanziarie piuttosto che politiche. Si impegnano a fornire strumenti di decrittazione e a cancellare i dati della vittima dietro pagamento, sottolineando l'importanza della loro reputazione.
Inoltre, la nota offre la possibilità di decrittografare un file gratuitamente per verificare il processo di decrittografia. Vengono forniti i dettagli di contatto per la comunicazione, incluso un Tox ID, un indirizzo e-mail (donexsupport@onionmail.org) e un avvertimento contro l'eliminazione o la modifica dei file per evitare complicazioni durante il ripristino. La nota si conclude con la minaccia di ulteriori attacchi contro l'azienda della vittima se il riscatto non verrà pagato.
Nota di riscatto DoNex
Il testo completo della richiesta di riscatto DoNex recita quanto segue:
DoNex ransomware warning
Your data are stolen and encryptedThe data will be published on TOR website if you do not pay the ransom
Links for Tor Browser:
What guarantees that we will not deceive you?
We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption and we will delete your data.
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.
Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.
You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9Mail (OnionMail) Support: donexsupport@onionmail.org
Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
Warning! If you do not pay the ransom we will attack your company repeatedly again!
Come viene comunemente distribuito il ransomware online?
Il ransomware viene comunemente distribuito online attraverso vari metodi, sfruttando le vulnerabilità e il comportamento umano. Ecco alcuni modi comuni in cui viene diffuso il ransomware:
E-mail di phishing:
Allegati e-mail: i criminali informatici spesso inviano e-mail di phishing con allegati dannosi, come documenti o file eseguibili infetti. Una volta aperto l'allegato, il ransomware viene distribuito sul sistema della vittima.
Collegamenti dannosi: le e-mail di phishing possono contenere anche collegamenti a siti Web dannosi. Facendo clic su questi collegamenti è possibile scaricare ed eseguire il ransomware.
Malvertising:
Su siti Web legittimi è possibile trovare pubblicità dannose o malvertising. Facendo clic su questi annunci è possibile reindirizzare gli utenti a siti che ospitano ransomware, provocando download e infezioni involontari.
Download guidati:
Il ransomware può essere scaricato silenziosamente nel sistema di un utente a sua insaputa quando visita siti Web compromessi o dannosi. Lo sfruttamento delle vulnerabilità nei browser o nei plugin è un metodo comune.
Kit di exploit:
I kit di exploit sono toolkit che prendono di mira le vulnerabilità note nel software. Se il sistema di un utente dispone di software obsoleto con vulnerabilità senza patch, l'exploit kit può fornire ed eseguire ransomware.
Attacchi alle pozze d'acqua:
I criminali informatici possono compromettere i siti web frequentati da uno specifico gruppo target, sfruttando la fiducia che gli utenti ripongono in tali siti per distribuire ransomware. Questo è noto come attacco Watering Hole.
Attacchi RDP (Remote Desktop Protocol):
Gli aggressori possono sfruttare password deboli o predefinite sui servizi RDP (Remote Desktop Protocol). Una volta ottenuto l'accesso, possono distribuire manualmente il ransomware sulla rete della vittima.
Lo sfruttamento delle vulnerabilità nel software è un metodo comune. Ciò include punti deboli nei sistemi operativi, nelle applicazioni o nei servizi che, se non corretti, forniscono un punto di ingresso per il ransomware.
