DoNex Ransomware

Els investigadors de seguretat de la informació (infosec) van identificar una variant de ransomware coneguda com DoNex durant un examen exhaustiu de les possibles amenaces de programari maliciós. Aquest ransomware està dissenyat amb l'objectiu principal de xifrar les dades emmagatzemades als dispositius compromesos. Els ciberdelinqüents utilitzen aquest programari nociu per bloquejar les dades de les víctimes, amb la intenció d'aprofitar-los com a mitjà d'extorsió per obtenir guanys monetaris.

Després d'una infiltració correcta, el DoNex Ransomware es comunica amb els usuaris o organitzacions afectats presentant una nota de rescat, normalment anomenada "Readme.[VICTIM_ID].txt". A més, l'amenaça altera els noms de fitxers de tots els fitxers xifrats afegint la seva pròpia extensió única, que serveix com a identificador per a la víctima específica. Per exemple, un fitxer anomenat originalment "1.doc" es transforma en "1.doc.f58A66B61", mentre que "2.pdf" es converteix en "2.pdf.f58A66B61", i així successivament.

El ransomware DoNex causa danys greus als dispositius infectats

La nota de rescat associada al DoNex Ransomware comença amb un avís, alertant la víctima de la presència de l'amenaça DoNex i transmetent que les seves dades han estat xifrades. Els atacants presenten un ultimàtum que indica que l'incompliment de les demandes de rescat donarà lloc a la publicació de les dades de la víctima en un lloc web de TOR. Per facilitar l'accés, la nota proporciona un enllaç per descarregar el navegador Tor, una eina necessària per navegar pel lloc web especificat.

En un intent de mitigar algunes preocupacions, la nota afirma que el grup que busca el rescat no està impulsat per motius polítics, sinó que només busca guanys financers. Es garanteix a la víctima que després del pagament, els ciberdelinqüents proporcionaran programes de desxifrat i esborraran les dades compromeses, subratllant la importància que les víctimes mantinguin la seva reputació.

Per establir un grau de confiança, la nota amplia una oferta per desxifrar un fitxer de forma gratuïta, permetent a la víctima verificar l'eficàcia del procés de desxifrat. També es proporciona informació de contacte, inclosa una identificació Tox, una adreça de correu electrònic a 'donexsupport@onionmail.org' i una nota d'advertència contra la supressió o la modificació de fitxers, ja que aquestes accions podrien provocar danys als fitxers. La nota conclou amb una amenaça, advertint de possibles atacs futurs a l'empresa de la víctima si el rescat no es paga.

És imprescindible que les víctimes es resisteixin a sucumbir a les demandes de rescat, ja que no hi ha cap garantia que els atacants compleixin la seva promesa de proporcionar eines de desxifrat fins i tot després de rebre el pagament del rescat. A més, és essencial eliminar ràpidament el ransomware dels ordinadors compromesos. Això no només redueix el risc de xifratge addicional, sinó que també ajuda a frenar la possible propagació del ransomware a altres ordinadors de la mateixa xarxa. És crucial tenir en compte que l'eliminació de l'amenaça de ransomware no restaura automàticament l'accés als fitxers i dades que ja han estat xifrats.

Adopteu un enfocament de seguretat sòlid en tots els dispositius

Per protegir les màquines i les dades dels atacs de ransomware, es recomana als usuaris que implementin un conjunt complet de mesures destinades a la prevenció, la detecció i la mitigació. Aquestes són les recomanacions clau:

• Instal·leu i actualitzeu el programari de seguretat : feu servir un programari anti-malware de bona reputació per detectar i bloquejar el ransomware. Mantingueu el programari de seguretat actualitzat per garantir la protecció contra les últimes amenaces.
• Actualitzeu regularment els sistemes operatius i el programari : actualitzeu ràpidament els sistemes operatius, les aplicacions i el programari per corregir les vulnerabilitats que puguin ser explotades pel ransomware.
• Aneu amb compte amb els correus electrònics : eviteu obrir correus electrònics de fonts desconegudes o sospitoses. Eviteu interactuar amb enllaços o descarregar fitxers adjunts de correus electrònics no sol·licitats.
• Còpia de seguretat de dades amb regularitat : feu còpies de seguretat periòdiques d'informació important a un dispositiu extern o a un servei de núvol segur. Assegureu-vos que les còpies de seguretat s'emmagatzemen fora de línia o amb accés restringit per evitar que es vegin compromeses pel ransomware.
• Utilitzeu mesures de seguretat de la xarxa : feu servir tallafocs, sistemes de detecció/prevenció d'intrusions i xarxes Wi-Fi segures per protegir-vos contra l'accés no autoritzat i la propagació del ransomware.
• Habilita l'autenticació de dos factors (2FA) : implementeu 2FA cada vegada que pugueu per reforçar la vostra seguretat, cosa que dificulta l'accés als usuaris no autoritzats.
• Educar i formar usuaris : educar els usuaris sobre els riscos dels atacs de pesca i les tàctiques d'enginyeria social utilitzades pels ciberdelinqüents. Proporcionar formació sobre com reconèixer i informar de possibles amenaces.
• Limita els privilegis d'usuari : restringeix els permisos dels usuaris només al nivell necessari per a les seves funcions, minimitzant l'impacte d'una possible infecció de ransomware.

En combinar aquestes mesures, els usuaris poden crear una defensa sòlida contra els atacs de ransomware, reduint el risc d'infecció i minimitzant l'impacte potencial en els seus dispositius i dades.

La nota de rescat de DoNex Ransomware és:

'!!! DoNex ransomware warning !!!

Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!'