DoNex Ransomware užšifruoja aukų diskus

Nagrinėdami naujus failų pavyzdžius nustatėme išpirkos reikalaujančios programos variantą, žinomą kaip DoNex. Ši išpirkos reikalaujanti programa skirta šifruoti duomenis ir prie visų šifruotų failų failų pavadinimų prideda išpirkos raštą pavadinimu „Readme.[victim's_ID].txt“ kartu su plėtiniu (aukos ID).

Pavyzdžiui, „DoNex“ pakeičia failų pavadinimus, paversdama „1.jpg“ į „1.jpg.f58A66B51“, „2.png“ į „2.png.f58A66B51“ ir pan. Išpirkos raštas prasideda paryškintu įspėjimu dėl DoNex išpirkos reikalaujančios programinės įrangos buvimo, pranešant aukai, kad jų duomenys buvo užšifruoti ir bus atskleisti TOR svetainėje, nebent išpirka bus sumokėta. Pastaboje yra nuoroda, skirta atsisiųsti „Tor“ naršyklę, kad galėtumėte pasiekti nurodytą svetainę.

Bandant nuraminti auką, raštelyje pabrėžiama, kad „DoNex“ grupuotė yra skatinama finansinių, o ne politinių motyvų. Jie įsipareigoja pateikti iššifravimo įrankius ir sumokėjus ištrinti aukos duomenis, pabrėždami jų reputacijos svarbą.

Be to, pastaboje yra galimybė nemokamai iššifruoti vieną failą, kad būtų galima patikrinti iššifravimo procesą. Pateikiama bendravimo kontaktinė informacija, įskaitant Tox ID, el. pašto adresą (donexsupport@onionmail.org) ir įspėjimą neištrinti ar nekeisti failų, kad būtų išvengta komplikacijų atkūrimo metu. Raštas baigiamas papildomais išpuoliais prieš aukos įmonę, jei išpirka liks nesumokėta.

DoNex Ransom Note

Visas DoNex išpirkos rašto tekstas skamba taip:

DoNex ransomware warning
Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!

Kaip „Ransomware“ dažniausiai platinama internete?

Išpirkos reikalaujančios programos dažniausiai platinamos internete įvairiais būdais, pasinaudojant pažeidžiamumu ir žmonių elgesiu. Štai keletas dažniausiai pasitaikančių išpirkos reikalaujančių programų plitimo būdų:

Sukčiavimo el. laiškai:
El. pašto priedai: kibernetiniai nusikaltėliai dažnai siunčia sukčiavimo el. laiškus su kenkėjiškais priedais, pvz., užkrėstais dokumentais ar vykdomosiomis programomis. Atidarius priedą, išpirkos reikalaujanti programa yra įdiegta aukos sistemoje.
Kenkėjiškos nuorodos: sukčiavimo el. laiškuose taip pat gali būti nuorodų į kenkėjiškas svetaines. Spustelėjus šias nuorodas, gali būti atsisiunčiama ir vykdoma išpirkos reikalaujanti programinė įranga.

Klaidinga reklama:
Kenkėjiškų skelbimų arba netinkamo reklamavimo galima rasti teisėtose svetainėse. Spustelėjus šiuos skelbimus, naudotojai gali būti nukreipti į svetaines, kuriose yra išpirkos reikalaujančios programos, o tai gali sukelti netyčinį atsisiuntimą ir užkrėtimą.

„Drive-by“ atsisiuntimai:
Išpirkos reikalaujančios programos gali būti tyliai atsisiunčiamos į vartotojo sistemą, jam nežinant, kai lankotės pažeistose ar kenkėjiškose svetainėse. Naršyklės ar papildinių pažeidžiamumų išnaudojimas yra įprastas būdas.

Išnaudojimo rinkiniai:
Išnaudojimo rinkiniai yra įrankių rinkiniai, nukreipti į žinomus programinės įrangos pažeidžiamumus. Jei vartotojo sistemoje yra pasenusios programinės įrangos su nepataisytų pažeidžiamumų, išnaudojimo rinkinys gali pristatyti ir vykdyti išpirkos reikalaujančią programinę įrangą.

Laistymo angos atakos:
Kibernetiniai nusikaltėliai gali pažeisti svetaines, kuriose lankosi tam tikra tikslinė grupė, išnaudodami vartotojų pasitikėjimą tomis svetainėmis, kad pristatytų išpirkos reikalaujančias programas. Tai žinoma kaip laistymo duobės ataka.

Nuotolinio darbalaukio protokolo (RDP) atakos:
Užpuolikai gali išnaudoti silpnus arba numatytuosius nuotolinio darbalaukio protokolo (RDP) paslaugų slaptažodžius. Gavę prieigą, jie gali rankiniu būdu įdiegti išpirkos reikalaujančią programinę įrangą aukos tinkle.

Programinės įrangos pažeidžiamumų išnaudojimas yra įprastas būdas. Tai apima operacinių sistemų, programų ar paslaugų trūkumus, kurie, jei nepataisomi, yra išpirkos reikalaujančių programų įėjimo taškas.