DoNex Ransomware codeert de schijven van slachtoffers

Bij het onderzoeken van nieuwe bestandsvoorbeelden hebben we een ransomwarevariant geïdentificeerd die bekend staat als DoNex. Deze ransomware is ontworpen om gegevens te versleutelen en voegt een losgeldbrief met de titel "Leesmij.[slachtoffer_ID].txt" samen met de extensie (slachtoffer-ID) toe aan de bestandsnamen van alle versleutelde bestanden.

DoNex verandert bijvoorbeeld bestandsnamen door "1.jpg" om te zetten in "1.jpg.f58A66B51", "2.png" in "2.png.f58A66B51", enzovoort. De losgeldbrief begint met een krachtige waarschuwing over de aanwezigheid van de DoNex-ransomware, waarbij het slachtoffer wordt geïnformeerd dat zijn gegevens zijn gecodeerd en op een TOR-website zullen worden weergegeven, tenzij het losgeld wordt betaald. De notitie bevat een link om de Tor Browser te downloaden voor toegang tot de opgegeven website.

In een poging het slachtoffer gerust te stellen, benadrukt het briefje dat de groep achter DoNex eerder wordt gedreven door financiële dan door politieke motieven. Ze beloven dat ze decoderingstools ter beschikking zullen stellen en de gegevens van het slachtoffer tegen betaling zullen wissen, wat het belang van hun reputatie onderstreept.

Bovendien biedt de notitie de mogelijkheid om één bestand gratis te decoderen om het decoderingsproces te verifiëren. Contactgegevens voor communicatie worden verstrekt, waaronder een Tox-ID, een e-mailadres (donexsupport@onionmail.org) en een waarschuwing tegen het verwijderen of wijzigen van bestanden om complicaties bij het herstel te voorkomen. De notitie eindigt met een dreiging van nieuwe aanvallen op het bedrijf van het slachtoffer als het losgeld onbetaald blijft.

DoNex losgeldbriefje

De volledige tekst van het losgeldbriefje van DoNex luidt als volgt:

DoNex ransomware warning
Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!

Hoe wordt ransomware doorgaans online verspreid?

Ransomware wordt vaak online verspreid via verschillende methoden, waarbij gebruik wordt gemaakt van kwetsbaarheden en menselijk gedrag. Hier volgen enkele veelvoorkomende manieren waarop ransomware wordt verspreid:

Phishing-e-mails:
E-mailbijlagen: Cybercriminelen sturen vaak phishing-e-mails met kwaadaardige bijlagen, zoals geïnfecteerde documenten of uitvoerbare bestanden. Zodra de bijlage wordt geopend, wordt de ransomware op het systeem van het slachtoffer ingezet.
Schadelijke links: Phishing-e-mails kunnen ook links naar kwaadaardige websites bevatten. Als u op deze links klikt, kan dit leiden tot het downloaden en uitvoeren van ransomware.

Malvertising:
Op legitieme websites kunnen schadelijke advertenties of malvertising worden aangetroffen. Als u op deze advertenties klikt, kunnen gebruikers worden omgeleid naar sites die ransomware hosten, wat kan leiden tot onbedoelde downloads en infecties.

Drive-by-downloads:
Ransomware kan zonder dat de gebruiker het weet, geruisloos naar het systeem van een gebruiker worden gedownload wanneer hij gecompromitteerde of kwaadaardige websites bezoekt. Het misbruiken van kwetsbaarheden in browsers of plug-ins is een veelgebruikte methode.

Exploitkits:
Exploitkits zijn toolkits die zich richten op bekende kwetsbaarheden in software. Als het systeem van een gebruiker verouderde software bevat met niet-gepatchte kwetsbaarheden, kan de exploitkit ransomware leveren en uitvoeren.

Watering Hole-aanvallen:
Cybercriminelen kunnen websites die door een specifieke doelgroep worden bezocht, compromitteren en misbruik maken van het vertrouwen dat gebruikers in die sites hebben om ransomware te verspreiden. Dit staat bekend als een drinkplaatsaanval.

Remote Desktop Protocol (RDP)-aanvallen:
Aanvallers kunnen zwakke of standaardwachtwoorden op Remote Desktop Protocol (RDP)-services misbruiken. Zodra toegang is verkregen, kunnen ze handmatig ransomware op het netwerk van het slachtoffer inzetten.

Het misbruiken van kwetsbaarheden in software is een veelgebruikte methode. Dit omvat zwakke punten in besturingssystemen, applicaties of services die, als ze niet worden gepatcht, een toegangspunt vormen voor ransomware.