DoNex Ransomware krypterer offerstasjoner
Mens vi undersøkte nye fileksempler, identifiserte vi en løsepengevarevariant kjent som DoNex. Denne løsepengevaren er utviklet for å kryptere data og legger til en løsepengenotat med tittelen "Readme.[victim's_ID].txt" sammen med utvidelsen (offerets ID) til filnavnene til alle krypterte filer.
For eksempel endrer DoNex filnavn ved å transformere "1.jpg" til "1.jpg.f58A66B51", "2.png" til "2.png.f58A66B51," og så videre. Løsepengenotatet begynner med en dristig advarsel angående tilstedeværelsen av DoNex løsepengevaren, som varsler offeret om at dataene deres er kryptert og vil bli eksponert på et TOR-nettsted med mindre løsepengene betales. Notatet inneholder en lenke for å laste ned Tor-nettleseren for å få tilgang til det angitte nettstedet.
I et forsøk på å berolige offeret, understreker notatet at gruppen bak DoNex er drevet av økonomiske motiver fremfor politiske. De lover å tilby dekrypteringsverktøy og slette offerets data ved betaling, noe som understreker betydningen av deres rykte.
Videre tilbyr notatet muligheten til å dekryptere én fil gratis for å bekrefte dekrypteringsprosessen. Kontaktdetaljer for kommunikasjon er gitt, inkludert en Tox ID, en e-postadresse (donexsupport@onionmail.org), og en advarsel mot å slette eller endre filer for å unngå komplikasjoner ved gjenoppretting. Notatet avsluttes med en trussel om ytterligere angrep på offerets selskap dersom løsepengene forblir ubetalt.
DoNex løsepengenotat
Den fullstendige teksten til DoNex løsepengenotat lyder som følger:
DoNex ransomware warning
Your data are stolen and encryptedThe data will be published on TOR website if you do not pay the ransom
Links for Tor Browser:
What guarantees that we will not deceive you?
We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption and we will delete your data.
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.
Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.
You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9Mail (OnionMail) Support: donexsupport@onionmail.org
Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
Warning! If you do not pay the ransom we will attack your company repeatedly again!
Hvordan distribueres ransomware ofte på nettet?
Ransomware distribueres ofte på nettet gjennom ulike metoder, og utnytter sårbarheter og menneskelig atferd. Her er noen vanlige måter løsepengevare spres på:
Phishing-e-poster:
E-postvedlegg: Nettkriminelle sender ofte phishing-e-post med ondsinnede vedlegg, for eksempel infiserte dokumenter eller kjørbare filer. Når vedlegget er åpnet, distribueres løsepengevaren på offerets system.
Ondsinnede lenker: Phishing-e-poster kan også inneholde lenker til ondsinnede nettsteder. Å klikke på disse koblingene kan føre til nedlasting og kjøring av løsepengeprogramvare.
Malvertising:
Ondsinnede annonser, eller malvertising, kan bli funnet på legitime nettsteder. Å klikke på disse annonsene kan omdirigere brukere til nettsteder som er vert for løsepengeprogramvare, noe som kan føre til en utilsiktet nedlasting og infeksjon.
Drive-by-nedlastinger:
Ransomware kan lastes ned til en brukers system uten deres viten når de besøker kompromitterte eller ondsinnede nettsteder. Utnytting av sårbarheter i nettlesere eller plugins er en vanlig metode.
Utnyttelsessett:
Utnyttelsessett er verktøysett som retter seg mot kjente sårbarheter i programvare. Hvis en brukers system har utdatert programvare med uopprettede sårbarheter, kan utnyttelsessettet levere og utføre løsepengeprogramvare.
Vannhullsangrep:
Nettkriminelle kan kompromittere nettsteder som besøkes av en spesifikk målgruppe, og utnytte tilliten brukerne har til disse nettstedene til å levere løsepengevare. Dette er kjent som et vannhullsangrep.
Remote Desktop Protocol (RDP)-angrep:
Angripere kan utnytte svake eller standard passord på Remote Desktop Protocol (RDP)-tjenester. Når tilgang er oppnådd, kan de manuelt distribuere løsepengevare på offerets nettverk.
Å utnytte sårbarheter i programvare er en vanlig metode. Dette inkluderer svakheter i operativsystemer, applikasjoner eller tjenester som, når de ikke er korrigert, gir et inngangspunkt for løsepengeprogramvare.
