DoNex Ransomware

Οι ερευνητές της ασφάλειας πληροφοριών (infosec) εντόπισαν μια παραλλαγή ransomware γνωστή ως DoNex κατά τη διάρκεια μιας ενδελεχούς εξέτασης πιθανών απειλών κακόβουλου λογισμικού. Αυτό το ransomware έχει σχεδιαστεί με κύριο στόχο την κρυπτογράφηση δεδομένων που είναι αποθηκευμένα στις παραβιασμένες συσκευές. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν αυτό το επιβλαβές λογισμικό για να κλειδώσουν τα δεδομένα των θυμάτων, σκοπεύοντας να τα αξιοποιήσουν ως μέσο εκβιασμού για χρηματικό κέρδος.

Μετά την επιτυχή διείσδυση, το DoNex Ransomware επικοινωνεί με τους επηρεαζόμενους χρήστες ή οργανισμούς παρουσιάζοντας ένα σημείωμα λύτρων, που συνήθως ονομάζεται "Readme.[VICTIM_ID].txt." Επιπλέον, η απειλή αλλάζει τα ονόματα αρχείων όλων των κρυπτογραφημένων αρχείων προσθέτοντας τη δική της μοναδική επέκταση, η οποία χρησιμεύει ως αναγνωριστικό για το συγκεκριμένο θύμα. Για παράδειγμα, ένα αρχείο με το αρχικό όνομα "1.doc" μετατρέπεται σε "1.doc.f58A66B61", ενώ το "2.pdf" γίνεται "2.pdf.f58A66B61" και ούτω καθεξής.

Το DoNex Ransomware προκαλεί σοβαρή ζημιά στις μολυσμένες συσκευές

Το σημείωμα λύτρων που σχετίζεται με το DoNex Ransomware ξεκινά με μια προειδοποίηση, ειδοποιώντας το θύμα για την παρουσία της απειλής DoNex και μεταφέροντας ότι τα δεδομένα του έχουν υποστεί κρυπτογράφηση. Υποβάλλεται τελεσίγραφο από τους επιτιθέμενους, το οποίο υποδεικνύει ότι η μη συμμόρφωση με τις απαιτήσεις για λύτρα θα έχει ως αποτέλεσμα τη δημοσίευση των δεδομένων του θύματος σε έναν ιστότοπο TOR. Για να διευκολυνθεί η πρόσβαση, η σημείωση παρέχει έναν σύνδεσμο για τη λήψη του προγράμματος περιήγησης Tor, ενός εργαλείου απαραίτητου για την πλοήγηση στον καθορισμένο ιστότοπο.

Σε μια προσπάθεια να μετριαστούν ορισμένες ανησυχίες, το σημείωμα βεβαιώνει ότι η ομάδα που αναζητά λύτρα δεν καθοδηγείται από πολιτικά κίνητρα, αλλά επιδιώκει μόνο οικονομικό κέρδος. Το θύμα είναι βέβαιο ότι μετά την πληρωμή, οι εγκληματίες του κυβερνοχώρου θα παρέχουν προγράμματα αποκρυπτογράφησης και θα διαγράψουν τα παραβιασμένα δεδομένα, υπογραμμίζοντας τη σημασία των θυμάτων να διατηρήσουν τη φήμη τους.

Για να εδραιωθεί ένας βαθμός εμπιστοσύνης, η σημείωση επεκτείνει μια προσφορά για την αποκρυπτογράφηση ενός αρχείου δωρεάν, επιτρέποντας στο θύμα να επαληθεύσει την αποτελεσματικότητα της διαδικασίας αποκρυπτογράφησης. Παρέχονται επίσης στοιχεία επικοινωνίας, συμπεριλαμβανομένου ενός Tox ID, μιας διεύθυνσης ηλεκτρονικού ταχυδρομείου στη διεύθυνση "donexsupport@onionmail.org" και μιας προειδοποιητικής σημείωσης κατά της διαγραφής ή της τροποποίησης αρχείων, καθώς τέτοιες ενέργειες θα μπορούσαν να προκαλέσουν ζημιά στα αρχεία. Το σημείωμα ολοκληρώνεται με μια απειλή, προειδοποίηση για πιθανές μελλοντικές επιθέσεις στην εταιρεία του θύματος σε περίπτωση που τα λύτρα παραμείνουν απλήρωτα.

Είναι επιτακτική ανάγκη για τα θύματα να αντισταθούν στο να υποκύψουν στις απαιτήσεις για λύτρα, καθώς δεν υπάρχει καμία εγγύηση ότι οι εισβολείς θα εκπληρώσουν την υπόσχεσή τους να παρέχουν εργαλεία αποκρυπτογράφησης ακόμη και μετά τη λήψη της πληρωμής λύτρων. Επιπλέον, είναι απαραίτητη η άμεση αφαίρεση του ransomware από υπολογιστές που έχουν παραβιαστεί. Αυτό όχι μόνο μειώνει τον κίνδυνο περαιτέρω κρυπτογράφησης, αλλά βοηθά επίσης στον περιορισμό της πιθανής εξάπλωσης του ransomware σε άλλους υπολογιστές εντός του ίδιου δικτύου. Είναι σημαντικό να σημειωθεί ότι η εξάλειψη της απειλής ransomware δεν αποκαθιστά αυτόματα την πρόσβαση σε αρχεία και δεδομένα που έχουν ήδη υποστεί κρυπτογράφηση.

Υιοθετήστε μια ισχυρή προσέγγιση ασφαλείας σε όλες τις συσκευές

Για την προστασία των μηχανημάτων και των δεδομένων από επιθέσεις ransomware, συνιστάται στους χρήστες να εφαρμόσουν ένα ολοκληρωμένο σύνολο μέτρων που στοχεύουν στην πρόληψη, τον εντοπισμό και τον μετριασμό. Ακολουθούν βασικές συστάσεις:

• Εγκατάσταση και ενημέρωση λογισμικού ασφαλείας : Χρησιμοποιήστε αξιόπιστο λογισμικό κατά του κακόβουλου λογισμικού για τον εντοπισμό και τον αποκλεισμό ransomware. Διατηρήστε ενημερωμένο το λογισμικό ασφαλείας για να εξασφαλίσετε προστασία από τις πιο πρόσφατες απειλές.
• Ενημερώστε τακτικά λειτουργικά συστήματα και λογισμικό : Ενημερώστε τα λειτουργικά συστήματα, τις εφαρμογές και το λογισμικό για να επιδιορθώσετε ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
• Να είστε προσεκτικοί με τα μηνύματα ηλεκτρονικού ταχυδρομείου : Αποφύγετε το άνοιγμα μηνυμάτων ηλεκτρονικού ταχυδρομείου από άγνωστες ή ύποπτες πηγές. Αποφύγετε την αλληλεπίδραση με συνδέσμους ή τη λήψη συνημμένων από ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου.
• Δημιουργία αντιγράφων ασφαλείας δεδομένων τακτικά : Εκτελέστε τακτικά αντίγραφα ασφαλείας σημαντικών πληροφοριών σε μια εξωτερική συσκευή ή σε μια ασφαλή υπηρεσία cloud. Βεβαιωθείτε ότι τα αντίγραφα ασφαλείας αποθηκεύονται εκτός σύνδεσης ή με περιορισμένη πρόσβαση για να αποφευχθεί η παραβίασή τους από ransomware.
• Χρησιμοποιήστε μέτρα ασφαλείας δικτύου : Χρησιμοποιήστε τείχη προστασίας, συστήματα ανίχνευσης/αποτροπής εισβολών και ασφαλή δίκτυα Wi-Fi για προστασία από μη εξουσιοδοτημένη πρόσβαση και εξάπλωση ransomware.
• Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων (2FA) : Εφαρμόστε το 2FA κάθε φορά που μπορείτε για να ενισχύσετε την ασφάλειά σας, δυσκολεύοντας την πρόσβαση σε μη εξουσιοδοτημένους χρήστες.
• Εκπαιδεύστε και εκπαιδεύστε τους χρήστες : Εκπαιδεύστε τους χρήστες σχετικά με τους κινδύνους επιθέσεων phishing και τις τακτικές κοινωνικής μηχανικής που χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου. Παρέχετε εκπαίδευση σχετικά με τον τρόπο αναγνώρισης και αναφοράς πιθανών απειλών.
• Περιορίστε τα δικαιώματα χρήστη : Περιορίστε τα δικαιώματα χρήστη μόνο στο απαραίτητο επίπεδο για τους ρόλους τους, ελαχιστοποιώντας τον αντίκτυπο μιας πιθανής μόλυνσης από ransomware.

Συνδυάζοντας αυτά τα μέτρα, οι χρήστες μπορούν να δημιουργήσουν μια ισχυρή άμυνα έναντι επιθέσεων ransomware, μειώνοντας τον κίνδυνο μόλυνσης και ελαχιστοποιώντας τις πιθανές επιπτώσεις στις συσκευές και τα δεδομένα τους.

Η σημείωση λύτρων του DoNex Ransomware είναι:

'!!! DoNex ransomware warning !!!

Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!'