DoNex Ransomware szyfruje dyski ofiar

Badając nowe próbki plików, zidentyfikowaliśmy wariant oprogramowania ransomware znany jako DoNex. To ransomware służy do szyfrowania danych i dołącza notatkę z żądaniem okupu zatytułowaną „Readme.[identyfikator_ofiary].txt” wraz z rozszerzeniem (identyfikator ofiary) do nazw wszystkich zaszyfrowanych plików.

Na przykład DoNex zmienia nazwy plików, przekształcając „1.jpg” w „1.jpg.f58A66B51”, „2.png” w „2.png.f58A66B51” i tak dalej. Żądanie okupu zaczyna się od wytłuszczonego ostrzeżenia dotyczącego obecności oprogramowania ransomware DoNex, informującego ofiarę, że jej dane zostały zaszyfrowane i zostaną ujawnione w witrynie TOR, chyba że okup zostanie zapłacony. Notatka zawiera link do pobrania przeglądarki Tor w celu uzyskania dostępu do określonej witryny internetowej.

Próbując uspokoić ofiarę, w notatce podkreślono, że grupą stojącą za DoNex kieruje się raczej motywami finansowymi niż politycznymi. Zobowiązują się do udostępnienia narzędzi do odszyfrowania i usunięcia danych ofiary po dokonaniu płatności, podkreślając znaczenie jej reputacji.

Ponadto notatka oferuje możliwość bezpłatnego odszyfrowania jednego pliku w celu sprawdzenia procesu deszyfrowania. Podano dane kontaktowe do celów komunikacji, w tym identyfikator Tox ID, adres e-mail (donexsupport@onionmail.org) oraz ostrzeżenie przed usuwaniem lub modyfikowaniem plików, aby uniknąć komplikacji w procesie odzyskiwania. Notatka kończy się groźbą dodatkowych ataków na firmę ofiary, jeśli okup nie zostanie zapłacony.

DoNex Notatka o okupie

Pełny tekst żądania okupu DoNex brzmi następująco:

DoNex ransomware warning
Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!

W jaki sposób oprogramowanie ransomware jest powszechnie dystrybuowane w Internecie?

Ransomware jest powszechnie rozpowszechniane w Internecie różnymi metodami, wykorzystując luki w zabezpieczeniach i ludzkie zachowania. Oto kilka typowych sposobów rozprzestrzeniania się oprogramowania ransomware:

E-maile phishingowe:
Załączniki do wiadomości e-mail: Cyberprzestępcy często wysyłają wiadomości e-mail phishingowe ze złośliwymi załącznikami, takimi jak zainfekowane dokumenty lub pliki wykonywalne. Po otwarciu załącznika oprogramowanie ransomware zostaje zainstalowane w systemie ofiary.
Złośliwe linki: wiadomości e-mail phishingowe mogą również zawierać łącza do złośliwych witryn internetowych. Kliknięcie tych linków może prowadzić do pobrania i uruchomienia oprogramowania ransomware.

Złośliwe reklamy:
Złośliwe reklamy, czyli złośliwe reklamy, można znaleźć na legalnych stronach internetowych. Kliknięcie tych reklam może przekierować użytkowników do witryn zawierających oprogramowanie ransomware, co może prowadzić do niezamierzonego pobrania i infekcji.

Pobieranie na miejscu:
Ransomware może zostać po cichu pobrany na system użytkownika, bez jego wiedzy, podczas odwiedzania zainfekowanych lub złośliwych witryn internetowych. Wykorzystywanie luk w zabezpieczeniach przeglądarek lub wtyczek jest powszechną metodą.

Zestawy exploitów:
Zestawy exploitów to zestawy narzędzi, których celem są znane luki w oprogramowaniu. Jeśli w systemie użytkownika znajduje się nieaktualne oprogramowanie z niezałatanymi lukami, zestaw exploitów może dostarczyć i uruchomić oprogramowanie ransomware.

Ataki wodopoju:
Cyberprzestępcy mogą atakować witryny odwiedzane przez określoną grupę docelową, wykorzystując zaufanie użytkowników do tych witryn, aby dostarczać oprogramowanie ransomware. Nazywa się to atakiem wodopoju.

Ataki na protokół Remote Desktop Protocol (RDP):
Atakujący mogą wykorzystać słabe lub domyślne hasła w usługach protokołu Remote Desktop Protocol (RDP). Po uzyskaniu dostępu mogą ręcznie wdrożyć oprogramowanie ransomware w sieci ofiary.

Wykorzystywanie luk w oprogramowaniu jest powszechną metodą. Obejmuje to słabości w systemach operacyjnych, aplikacjach lub usługach, które pozostawione bez poprawki stanowią punkt wejścia dla oprogramowania ransomware.