DoNex Ransomware criptografa unidades de vítimas

Ao examinar novas amostras de arquivos, identificamos uma variante de ransomware conhecida como DoNex. Este ransomware foi projetado para encriptar dados e anexa uma nota de resgate intitulada "Readme.[victim's_ID].txt" juntamente com a sua extensão (ID da vítima) aos nomes de todos os ficheiros encriptados.

Por exemplo, DoNex altera nomes de arquivos transformando “1.jpg” em “1.jpg.f58A66B51”, “2.png” em “2.png.f58A66B51” e assim por diante. A nota de resgate começa com um aviso ousado sobre a presença do ransomware DoNex, notificando a vítima de que seus dados foram criptografados e serão expostos em um site TOR, a menos que o resgate seja pago. A nota inclui um link para baixar o navegador Tor para acessar o site especificado.

Na tentativa de tranquilizar a vítima, a nota enfatiza que o grupo por trás do DoNex é movido por motivos financeiros e não políticos. Eles se comprometem a fornecer ferramentas de descriptografia e apagar os dados da vítima mediante pagamento, ressaltando a importância de sua reputação.

Além disso, a nota oferece a opção de descriptografar um arquivo gratuitamente para verificar o processo de descriptografia. São fornecidos detalhes de contato para comunicação, incluindo um Tox ID, um endereço de e-mail (donexsupport@onionmail.org) e um aviso contra exclusão ou modificação de arquivos para evitar complicações na recuperação. A nota termina com uma ameaça de ataques adicionais à empresa da vítima se o resgate não for pago.

Nota de resgate DoNex

O texto completo da nota de resgate DoNex é o seguinte:

DoNex ransomware warning
Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!

Como o Ransomware é comumente distribuído online?

O ransomware é comumente distribuído online por meio de vários métodos, aproveitando-se de vulnerabilidades e do comportamento humano. Aqui estão algumas maneiras comuns pelas quais o ransomware se espalha:

E-mails de phishing:
Anexos de e-mail: os cibercriminosos costumam enviar e-mails de phishing com anexos maliciosos, como documentos ou executáveis infectados. Depois que o anexo é aberto, o ransomware é implantado no sistema da vítima.
Links maliciosos: e-mails de phishing também podem conter links para sites maliciosos. Clicar nesses links pode levar ao download e execução de ransomware.

Malvertising:
Anúncios maliciosos ou malvertising podem ser encontrados em sites legítimos. Clicar nesses anúncios pode redirecionar os usuários para sites que hospedam ransomware, levando a um download e infecção não intencional.

Downloads drive-by:
O ransomware pode ser baixado silenciosamente no sistema de um usuário, sem o seu conhecimento, ao visitar sites comprometidos ou maliciosos. Explorar vulnerabilidades em navegadores ou plugins é um método comum.

Kits de exploração:
Os kits de exploração são kits de ferramentas que visam vulnerabilidades conhecidas em software. Se o sistema de um usuário tiver software desatualizado com vulnerabilidades não corrigidas, o kit de exploração poderá fornecer e executar ransomware.

Ataques de Watering Hole:
Os cibercriminosos podem comprometer sites frequentados por um grupo-alvo específico, explorando a confiança que os usuários depositam nesses sites para entregar ransomware. Isso é conhecido como ataque de watering hole.

Ataques de protocolo de área de trabalho remota (RDP):
Os invasores podem explorar senhas fracas ou padrão em serviços Remote Desktop Protocol (RDP). Assim que o acesso for obtido, eles podem implantar manualmente o ransomware na rede da vítima.

Explorar vulnerabilidades em software é um método comum. Isso inclui pontos fracos em sistemas operacionais, aplicativos ou serviços que, quando não corrigidos, fornecem um ponto de entrada para ransomware.