Ransomware DoNex

I ricercatori della sicurezza informatica (infosec) hanno identificato una variante del ransomware nota come DoNex durante un esame approfondito delle potenziali minacce malware. Questo ransomware è progettato con l'obiettivo principale di crittografare i dati archiviati sui dispositivi compromessi. I criminali informatici utilizzano questo software dannoso per bloccare i dati delle vittime, con l'intenzione di sfruttarli come mezzo di estorsione a scopo di lucro.

Una volta infiltrato con successo, DoNex Ransomware comunica con gli utenti o le organizzazioni interessate presentando una richiesta di riscatto, in genere denominata "Readme.[VICTIM_ID].txt". Inoltre, la minaccia altera i nomi dei file di tutti i file crittografati aggiungendo la propria estensione univoca, che funge da ID per la vittima specifica. Ad esempio, un file originariamente denominato "1.doc" subisce una trasformazione in "1.doc.f58A66B61", mentre "2.pdf" diventa "2.pdf.f58A66B61" e così via.

Il ransomware DoNex provoca gravi danni ai dispositivi infetti

La richiesta di riscatto associata al DoNex Ransomware inizia con un avviso, avvisando la vittima della presenza della minaccia DoNex e comunicando che i suoi dati sono stati sottoposti a crittografia. Gli aggressori presentano un ultimatum secondo cui il mancato rispetto delle richieste di riscatto comporterà la pubblicazione dei dati della vittima su un sito TOR. Per facilitare l'accesso, nella nota viene fornito il link per il download del Tor Browser, strumento necessario per navigare nel sito indicato.

Nel tentativo di mitigare alcune preoccupazioni, la nota afferma che il gruppo in cerca di riscatto non è guidato da motivi politici ma cerca piuttosto solo un guadagno finanziario. Alla vittima viene assicurato che, dietro pagamento, i criminali informatici forniranno programmi di decrittazione ed elimineranno i dati compromessi, sottolineando l'importanza che le vittime mantengano la propria reputazione.

Per stabilire un certo grado di fiducia, la nota estende un'offerta per decrittografare gratuitamente un file, consentendo alla vittima di verificare l'efficacia del processo di decrittazione. Vengono inoltre fornite le informazioni di contatto, incluso un Tox ID, un indirizzo e-mail all'indirizzo "donexsupport@onionmail.org" e una nota di avvertimento contro l'eliminazione o la modifica dei file, poiché tali azioni potrebbero causare danni ai file. La nota si conclude con una minaccia, avvertendo di possibili futuri attacchi all'azienda della vittima nel caso in cui il riscatto non venisse pagato.

È fondamentale che le vittime resistano alle richieste di riscatto, poiché non vi è alcuna garanzia che gli aggressori mantengano la loro promessa di fornire strumenti di decrittazione anche dopo aver ricevuto il pagamento del riscatto. Inoltre, è essenziale rimuovere tempestivamente il ransomware dai computer compromessi. Ciò non solo riduce il rischio di ulteriore crittografia, ma aiuta anche ad arginare la potenziale diffusione del ransomware ad altri computer all’interno della stessa rete. È fondamentale notare che l'eliminazione della minaccia ransomware non ripristina automaticamente l'accesso a file e dati che sono già stati sottoposti a crittografia.

Adotta un solido approccio alla sicurezza su tutti i dispositivi

Per salvaguardare macchine e dati dagli attacchi ransomware, si consiglia vivamente agli utenti di implementare una serie completa di misure volte a prevenire, rilevare e mitigare. Ecco le raccomandazioni principali:

• Installa e aggiorna il software di sicurezza : utilizza un software antimalware affidabile per rilevare e bloccare il ransomware. Mantieni aggiornato il software di sicurezza per garantire la protezione contro le minacce più recenti.
• Aggiorna regolarmente sistemi operativi e software : aggiorna tempestivamente sistemi operativi, applicazioni e software per correggere le vulnerabilità che potrebbero essere sfruttate dal ransomware.
• Prestare attenzione con le e-mail : evitare di aprire e-mail provenienti da fonti sconosciute o sospette. Astenersi dall'interagire con collegamenti o scaricare allegati da e-mail non richieste.
• Backup regolare dei dati : esegui backup regolari di informazioni importanti su un dispositivo esterno o su un servizio cloud sicuro. Assicurati che i backup siano archiviati offline o con accesso limitato per evitare che vengano compromessi dal ransomware.
• Utilizzare misure di sicurezza della rete : utilizzare firewall, sistemi di rilevamento/prevenzione delle intrusioni e proteggere le reti Wi-Fi per proteggersi dall'accesso non autorizzato e dalla diffusione di ransomware.
• Abilita l'autenticazione a due fattori (2FA) : implementa la 2FA ogni volta che puoi per rafforzare la tua sicurezza, rendendo più difficile l'accesso per gli utenti non autorizzati.
• Educare e formare gli utenti : istruire gli utenti sui rischi degli attacchi di phishing e delle tattiche di ingegneria sociale utilizzate dai criminali informatici. Fornire formazione su come riconoscere e segnalare potenziali minacce.
• Limita i privilegi utente : limita le autorizzazioni utente solo al livello necessario per i loro ruoli, riducendo al minimo l'impatto di una potenziale infezione ransomware.

Combinando queste misure, gli utenti possono creare una solida difesa contro gli attacchi ransomware, riducendo il rischio di infezione e minimizzando il potenziale impatto sui propri dispositivi e dati.

La richiesta di riscatto di DoNex Ransomware è:

'!!! DoNex ransomware warning !!!

Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!'