DoNex Ransomware krypterar offerdiskar
När vi undersökte nya filprover identifierade vi en ransomware-variant känd som DoNex. Denna ransomware är utformad för att kryptera data och lägger till en lösensumma med titeln "Readme.[victim's_ID].txt" tillsammans med dess tillägg (offer-ID) till filnamnen på alla krypterade filer.
Till exempel ändrar DoNex filnamn genom att omvandla "1.jpg" till "1.jpg.f58A66B51", "2.png" till "2.png.f58A66B51" och så vidare. Lösennotan börjar med en djärv varning angående närvaron av DoNex ransomware, som meddelar offret att deras data har krypterats och kommer att exponeras på en TOR-webbplats om inte lösensumman betalas. Anteckningen innehåller en länk för att ladda ner Tor-webbläsaren för att komma åt den angivna webbplatsen.
I ett försök att lugna offret understryker lappen att gruppen bakom DoNex drivs av ekonomiska motiv snarare än politiska. De lovar att tillhandahålla dekrypteringsverktyg och radera offrets data vid betalning, vilket understryker betydelsen av deras rykte.
Dessutom erbjuder anteckningen möjligheten att dekryptera en fil gratis för att verifiera dekrypteringsprocessen. Kontaktuppgifter för kommunikation tillhandahålls, inklusive ett Tox-ID, en e-postadress (donexsupport@onionmail.org) och en varning mot att radera eller ändra filer för att undvika komplikationer vid återställning. Anteckningen avslutas med ett hot om ytterligare attacker mot offrets företag om lösensumman förblir obetald.
DoNex Ransom Note
Den fullständiga texten i DoNex lösennota lyder som följer:
DoNex ransomware warning
Your data are stolen and encryptedThe data will be published on TOR website if you do not pay the ransom
Links for Tor Browser:
What guarantees that we will not deceive you?
We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption and we will delete your data.
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.
Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.
You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9Mail (OnionMail) Support: donexsupport@onionmail.org
Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
Warning! If you do not pay the ransom we will attack your company repeatedly again!
Hur distribueras ransomware vanligtvis online?
Ransomware distribueras vanligtvis online genom olika metoder, och drar fördel av sårbarheter och mänskligt beteende. Här är några vanliga sätt som ransomware sprids på:
Nätfiske-e-postmeddelanden:
E-postbilagor: Cyberbrottslingar skickar ofta nätfiske-e-postmeddelanden med skadliga bilagor, som infekterade dokument eller körbara filer. När bilagan har öppnats distribueras ransomware på offrets system.
Skadliga länkar: Nätfiske-e-postmeddelanden kan också innehålla länkar till skadliga webbplatser. Att klicka på dessa länkar kan leda till nedladdning och körning av ransomware.
Malvertising:
Skadliga annonser, eller malvertising, kan hittas på legitima webbplatser. Att klicka på dessa annonser kan omdirigera användare till webbplatser som är värd för ransomware, vilket leder till en oavsiktlig nedladdning och infektion.
Drive-by-nedladdningar:
Ransomware kan laddas ner i tysthet till en användares system utan deras vetskap när de besöker komprometterade eller skadliga webbplatser. Att utnyttja sårbarheter i webbläsare eller plugins är en vanlig metod.
Exploateringssatser:
Exploitsatser är verktygssatser som riktar sig mot kända sårbarheter i programvara. Om en användares system har föråldrad programvara med oparpade sårbarheter, kan exploateringssatsen leverera och köra ransomware.
Vattenhålsattacker:
Cyberbrottslingar kan äventyra webbplatser som besöks av en specifik målgrupp och utnyttjar användarnas förtroende för dessa webbplatser för att leverera ransomware. Detta är känt som en vattenhålsattack.
Remote Desktop Protocol (RDP) Attacker:
Angripare kan utnyttja svaga lösenord eller standardlösenord på RDP-tjänster (Remote Desktop Protocol). När åtkomst har uppnåtts kan de manuellt distribuera ransomware på offrets nätverk.
Att utnyttja sårbarheter i programvara är en vanlig metod. Detta inkluderar svagheter i operativsystem, applikationer eller tjänster som, när de lämnas oparpade, ger en ingångspunkt för ransomware.
