DoNex рансъмуер

Изследователите на информационната сигурност (infosec) идентифицираха вариант на ransomware, известен като DoNex, по време на задълбочено изследване на потенциални заплахи от зловреден софтуер. Този ransomware е проектиран с основната цел да криптира данните, съхранявани на компрометираните устройства. Киберпрестъпниците използват този вреден софтуер, за да заключат данните на жертвите, възнамерявайки да го използват като средство за изнудване за парична печалба.

При успешно проникване DoNex Ransomware комуникира със засегнатите потребители или организации чрез представяне на бележка за откуп, обикновено наречена „Readme.[VICTIM_ID].txt.' Освен това заплахата променя имената на всички криптирани файлове, като добавя свое собствено уникално разширение, което служи като ID за конкретната жертва. Например файл с първоначално име „1.doc“ претърпява трансформация в „1.doc.f58A66B61“, докато „2.pdf“ става „2.pdf.f58A66B61“ и т.н.

Рансъмуерът DoNex причинява сериозни щети на заразените устройства

Бележката за откуп, свързана с рансъмуера DoNex, започва с предупреждение, което предупреждава жертвата за наличието на заплахата DoNex и съобщава, че данните им са били криптирани. Нападателите представят ултиматум, който показва, че неизпълнението на исканията за откуп ще доведе до публикуване на данните на жертвата на уебсайт на TOR. За да се улесни достъпът, бележката предоставя връзка за изтегляне на Tor Browser, инструмент, необходим за навигация в посочения уебсайт.

В опит да смекчи някои опасения, бележката твърди, че групата, търсеща откуп, не е водена от политически мотиви, а по-скоро търси само финансова печалба. Жертвата е сигурна, че при плащане киберпрестъпниците ще предоставят програми за декриптиране и ще изтрият компрометираните данни, подчертавайки колко е важно жертвите да запазят репутацията си.

За да се установи известна степен на доверие, бележката предлага оферта за безплатно декриптиране на един файл, което позволява на жертвата да провери ефикасността на процеса на декриптиране. Предоставя се също информация за контакт, включително Tox ID, имейл адрес на 'donexsupport@onionmail.org' и предупредителна бележка срещу изтриване или модифициране на файлове, тъй като подобни действия могат да доведат до повреда на файловете. Бележката завършва със заплаха, предупреждаваща за потенциални бъдещи атаки срещу компанията на жертвата, ако откупът остане неплатен.

Наложително е жертвите да не се поддават на исканията за откуп, тъй като няма гаранция, че нападателите ще изпълнят обещанието си да предоставят инструменти за декриптиране дори след получаване на плащането на откупа. Освен това бързото премахване на рансъмуера от компрометирани компютри е от съществено значение. Това не само намалява риска от по-нататъшно криптиране, но също така помага да се спре потенциалното разпространение на ransomware към други компютри в рамките на същата мрежа. Важно е да се отбележи, че премахването на заплахата от ransomware не възстановява автоматично достъпа до файлове и данни, които вече са били криптирани.

Възприемете стабилен подход за сигурност на всички устройства

За да предпазят машините и данните от атаки на ransomware, на потребителите се препоръчва да прилагат цялостен набор от мерки, насочени към предотвратяване, откриване и смекчаване. Ето основните препоръки:

• Инсталирайте и актуализирайте софтуер за защита : Използвайте реномиран софтуер против злонамерен софтуер за откриване и блокиране на ransomware. Поддържайте софтуера за сигурност актуален, за да осигурите защита срещу най-новите заплахи.
• Актуализирайте редовно операционните системи и софтуера : Актуализирайте своевременно операционните системи, приложенията и софтуера, за да коригирате уязвимостите, които могат да бъдат използвани от ransomware.
• Бъдете внимателни с имейлите : Избягвайте да отваряте имейли от неизвестни или подозрителни източници. Въздържайте се от взаимодействие с връзки или изтегляне на прикачени файлове от нежелани имейли.
• Редовно архивиране на данни : Правете редовно архивиране на важна информация на външно устройство или защитена облачна услуга. Уверете се, че резервните копия се съхраняват офлайн или с ограничен достъп, за да ги предотвратите от компрометиране от ransomware.
• Използвайте мерки за мрежова сигурност : Използвайте защитни стени, системи за откриване/предотвратяване на проникване и сигурни Wi-Fi мрежи, за да се предпазите от неоторизиран достъп и разпространение на ransomware.
• Активиране на двуфакторно удостоверяване (2FA) : Внедрявайте 2FA всеки път, когато можете, за да подсилите сигурността си, затруднявайки достъпа на неоторизирани потребители.
• Образовайте и обучете потребителите : Обучете потребителите за рисковете от фишинг атаки и тактики за социално инженерство, използвани от киберпрестъпниците. Осигурете обучение как да разпознавате и докладвате потенциални заплахи.
• Ограничете потребителските привилегии : Ограничете потребителските разрешения само до необходимото ниво за техните роли, минимизирайки въздействието на потенциална инфекция с ransomware.

Чрез комбиниране на тези мерки потребителите могат да създадат стабилна защита срещу атаки на ransomware, намалявайки риска от инфекция и минимизирайки потенциалното въздействие върху техните устройства и данни.

Бележката за откуп на DoNex Ransomware е:

'!!! DoNex ransomware warning !!!

Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!'