DoNex 勒索软件加密受害者驱动器
在检查新文件样本时,我们发现了一种名为 DoNex 的勒索软件变种。该勒索软件旨在加密数据,并将标题为“Readme.[victim's_ID].txt”的勒索字条及其扩展名(受害者 ID)附加到所有加密文件的文件名中。
例如,DoNex 通过将“1.jpg”转换为“1.jpg.f58A66B51”、“2.png”转换为“2.png.f58A66B51”等来更改文件名。勒索字条以有关 DoNex 勒索软件存在的大胆警告开头,通知受害者他们的数据已被加密,除非支付赎金,否则他们的数据将在 TOR 网站上公开。该注释包含下载 Tor 浏览器以访问指定网站的链接。
为了安抚受害者,该说明强调 DoNex 背后的组织是出于经济动机而不是政治动机。他们承诺提供解密工具,并在付款后删除受害者的数据,强调了他们声誉的重要性。
此外,该注释还提供了免费解密一个文件的选项,以验证解密过程。提供了用于通信的详细联系信息,包括 Tox ID、电子邮件地址 (donexsupport@onionmail.org),以及禁止删除或修改文件以避免恢复过程中出现复杂情况的警告。该说明最后威胁说,如果仍未支付赎金,受害者的公司将遭受更多攻击。
DoNex 勒索信
DoNex勒索信全文如下:
DoNex ransomware warning
Your data are stolen and encryptedThe data will be published on TOR website if you do not pay the ransom
Links for Tor Browser:
What guarantees that we will not deceive you?
We are not a politically motivated group and we do not need anything other than your money.
If you pay, we will provide you the programs for decryption and we will delete your data.
If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.
Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.
You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID
Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9Mail (OnionMail) Support: donexsupport@onionmail.org
Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
Warning! If you do not pay the ransom we will attack your company repeatedly again!
勒索软件通常如何在线传播?
勒索软件通常利用漏洞和人类行为,通过各种方法在线传播。以下是勒索软件传播的一些常见方式:
网络钓鱼电子邮件:
电子邮件附件:网络犯罪分子经常发送带有恶意附件的网络钓鱼电子邮件,例如受感染的文档或可执行文件。一旦打开附件,勒索软件就会部署在受害者的系统上。
恶意链接:网络钓鱼电子邮件还可能包含恶意网站的链接。单击这些链接可能会导致勒索软件的下载和执行。
恶意广告:
恶意广告或恶意广告可以在合法网站上找到。点击这些广告可能会将用户重定向到托管勒索软件的网站,从而导致意外下载和感染。
路过式下载:
当访问受感染或恶意网站时,勒索软件可能会在用户不知情的情况下悄悄下载到用户的系统上。利用浏览器或插件中的漏洞是一种常见的方法。
漏洞利用套件:
漏洞利用工具包是针对软件中已知漏洞的工具包。如果用户的系统存在带有未修补漏洞的过时软件,则该漏洞利用工具包可以传送并执行勒索软件。
水坑攻击:
网络犯罪分子可能会破坏特定目标群体经常访问的网站,利用用户对这些网站的信任来传播勒索软件。这称为水坑攻击。
远程桌面协议 (RDP) 攻击:
攻击者可能会利用远程桌面协议 (RDP) 服务上的弱密码或默认密码。一旦获得访问权限,他们就可以在受害者的网络上手动部署勒索软件。
利用软件漏洞是一种常见的方法。这包括操作系统、应用程序或服务中的弱点,如果不及时修补,就会为勒索软件提供入口点。
