Программа-вымогатель DoNex шифрует диски жертв

Изучая новые образцы файлов, мы обнаружили вариант программы-вымогателя, известный как DoNex. Эта программа-вымогатель предназначена для шифрования данных и добавляет записку о выкупе под названием «Readme.[victim's_ID].txt» вместе с ее расширением (идентификатором жертвы) к именам всех зашифрованных файлов.

Например, DoNex изменяет имена файлов, преобразуя «1.jpg» в «1.jpg.f58A66B51», «2.png» в «2.png.f58A66B51» и т. д. Записка о выкупе начинается со смелого предупреждения о наличии программы-вымогателя DoNex, уведомляющего жертву о том, что ее данные зашифрованы и будут доступны на веб-сайте TOR, если выкуп не будет выплачен. В примечании содержится ссылка на загрузку браузера Tor для доступа к указанному веб-сайту.

В попытке успокоить жертву в записке подчеркивается, что группа, стоящая за DoNex, руководствуется финансовыми мотивами, а не политическими. Они обязуются предоставить инструменты расшифровки и стереть данные жертвы после оплаты, подчеркивая значимость своей репутации.

Кроме того, в заметке предлагается возможность бесплатно расшифровать один файл для проверки процесса расшифровки. Предоставляются контактные данные для связи, включая идентификатор Tox, адрес электронной почты (donexsupport@onionmail.org) и предупреждение против удаления или изменения файлов во избежание осложнений при восстановлении. Записка завершается угрозой дополнительных атак на компанию жертвы, если выкуп останется невыплаченным.

Записка о выкупе DoNex

Полный текст записки о выкупе DoNex выглядит следующим образом:

DoNex ransomware warning
Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!

Как программы-вымогатели обычно распространяются в Интернете?

Программы-вымогатели обычно распространяются в Интернете различными способами, используя уязвимости и поведение человека. Вот некоторые распространенные способы распространения программ-вымогателей:

Фишинговые письма:
Вложения электронной почты. Киберпреступники часто рассылают фишинговые электронные письма с вредоносными вложениями, такими как зараженные документы или исполняемые файлы. Как только вложение открыто, программа-вымогатель распространяется в системе жертвы.
Вредоносные ссылки. Фишинговые электронные письма также могут содержать ссылки на вредоносные веб-сайты. Нажатие на эти ссылки может привести к загрузке и запуску программы-вымогателя.

Вредоносная реклама:
Вредоносную рекламу или вредоносную рекламу можно найти на законных веб-сайтах. Нажатие на эти объявления может перенаправить пользователей на сайты, на которых размещены программы-вымогатели, что приведет к непреднамеренной загрузке и заражению.

Загрузки по ходу дела:
Программы-вымогатели могут быть незаметно загружены в систему пользователя без его ведома при посещении взломанных или вредоносных веб-сайтов. Использование уязвимостей в браузерах или плагинах — распространенный метод.

Наборы эксплойтов:
Наборы эксплойтов — это наборы инструментов, предназначенные для устранения известных уязвимостей в программном обеспечении. Если в системе пользователя установлено устаревшее программное обеспечение с неисправленными уязвимостями, набор эксплойтов может доставить и запустить программу-вымогатель.

Атаки на водопои:
Киберпреступники могут поставить под угрозу веб-сайты, посещаемые определенной целевой группой, используя доверие пользователей к этим сайтам для распространения программ-вымогателей. Это известно как атака водопоя.

Атаки по протоколу удаленного рабочего стола (RDP):
Злоумышленники могут использовать слабые пароли или пароли по умолчанию в службах протокола удаленного рабочего стола (RDP). После получения доступа они могут вручную развернуть программу-вымогатель в сети жертвы.

Использование уязвимостей в программном обеспечении является распространенным методом. Сюда входят уязвимости в операционных системах, приложениях или службах, которые, если их не исправить, создают точку входа для программ-вымогателей.