DoNex Ransomware

Forskere på informasjonssikkerhet (infosec) identifiserte en løsepengevarevariant kjent som DoNex under en grundig undersøkelse av potensielle skadevaretrusler. Denne løsepengevaren er designet med hovedmålet å kryptere data som er lagret på de kompromitterte enhetene. Nettkriminelle bruker denne skadelige programvaren for å låse ofrenes data, og har til hensikt å utnytte dem som et middel til utpressing for økonomisk vinning.

Ved vellykket infiltrasjon kommuniserer DoNex Ransomware med de berørte brukerne eller organisasjonene ved å presentere en løsepengenota, vanligvis kalt 'Readme.[VICTIM_ID].txt.' I tillegg endrer trusselen filnavnene til alle krypterte filer ved å legge til sin egen unike utvidelse, som fungerer som ID for det spesifikke offeret. For eksempel gjennomgår en fil opprinnelig kalt '1.doc' en transformasjon til '1.doc.f58A66B61', mens '2.pdf' blir '2.pdf.f58A66B61' og så videre.

DoNex Ransomware forårsaker alvorlig skade på de infiserte enhetene

Løsepengene knyttet til DoNex Ransomware begynner med en advarsel, som varsler offeret om tilstedeværelsen av DoNex-trusselen og formidler at dataene deres har gjennomgått kryptering. Et ultimatum stilles av angriperne, som indikerer at manglende etterlevelse av løsepengekravene vil resultere i publisering av offerets data på et TOR-nettsted. For å lette tilgangen inneholder notatet en lenke for nedlasting av Tor-nettleseren, et verktøy som er nødvendig for å navigere på det angitte nettstedet.

I et forsøk på å dempe noen bekymringer, hevder notatet at den løsepengesøkende gruppen ikke er drevet av politiske motiver, men heller kun søker økonomisk gevinst. Offeret er forsikret om at nettkriminelle ved betaling vil tilby dekrypteringsprogrammer og slette de kompromitterte dataene, noe som understreker viktigheten av at ofrene opprettholder sitt rykte.

For å etablere en grad av tillit, utvider notatet et tilbud om å dekryptere én fil gratis, slik at offeret kan verifisere effektiviteten til dekrypteringsprosessen. Kontaktinformasjon er også gitt, inkludert en Tox ID, en e-postadresse på 'donexsupport@onionmail.org' og en advarsel mot sletting eller endring av filer, da slike handlinger kan føre til skade på filene. Notatet avsluttes med en trussel som advarer om potensielle fremtidige angrep på offerets selskap dersom løsepengene forblir ubetalt.

Det er avgjørende for ofre å motstå å gi etter for krav om løsepenger, siden det ikke er noen garanti for at angriperne vil oppfylle løftet sitt om å tilby dekrypteringsverktøy selv etter å ha mottatt løsepengebetalingen. Videre er umiddelbar fjerning av løsepengevaren fra kompromitterte datamaskiner avgjørende. Dette reduserer ikke bare risikoen for ytterligere kryptering, men bidrar også til å stoppe den potensielle spredningen av løsepengevare til andre datamaskiner innenfor samme nettverk. Det er viktig å merke seg at eliminering av løsepengevare-trusselen ikke automatisk gjenoppretter tilgang til filer og data som allerede har gjennomgått kryptering.

Vedta en robust sikkerhetstilnærming på alle enheter

For å beskytte maskiner og data mot løsepengeangrep, anbefales brukere på det sterkeste å implementere et omfattende sett med tiltak rettet mot forebygging, oppdagelse og avbøtende tiltak. Her er viktige anbefalinger:

• Installer og oppdater sikkerhetsprogramvare : Bruk anerkjent anti-malware-programvare for å oppdage og blokkere løsepengeprogramvare. Hold sikkerhetsprogramvaren oppdatert for å sikre beskyttelse mot de siste truslene.
• Oppdater operativsystemer og programvare regelmessig : Oppdater operativsystemer, applikasjoner og programvare umiddelbart for å korrigere sårbarheter som kan utnyttes av løsepengeprogramvare.
• Vær forsiktig med e-poster : Unngå å åpne e-poster fra ukjente eller mistenkelige kilder. Avstå fra å samhandle med lenker eller laste ned vedlegg fra uønskede e-poster.
• Sikkerhetskopier data regelmessig : Utfør regelmessige sikkerhetskopier av viktig informasjon til en ekstern enhet eller en sikker skytjeneste. Sørg for at sikkerhetskopier lagres offline eller med begrenset tilgang for å forhindre at de blir kompromittert av løsepengeprogramvare.
• Bruk nettverkssikkerhetstiltak : Bruk brannmurer, inntrengningsdeteksjons-/forebyggende systemer og sikre Wi-Fi-nettverk for å beskytte mot uautorisert tilgang og løsepengevarespredning.
• Aktiver tofaktorautentisering (2FA) : Implementer 2FA hver gang du kan for å styrke sikkerheten din, noe som gjør det vanskeligere for uautoriserte brukere å få tilgang.
• Utdanne og trene brukere : Lær brukerne om risikoen for phishing-angrep og sosial ingeniør-taktikk brukt av nettkriminelle. Gi opplæring i hvordan du gjenkjenner og rapporterer potensielle trusler.
• Begrens brukerrettigheter : Begrens brukertillatelser til bare det nødvendige nivået for rollene deres, og minimer virkningen av en potensiell ransomware-infeksjon.

Ved å kombinere disse tiltakene kan brukere skape et robust forsvar mot løsepengevareangrep, redusere risikoen for infeksjon og minimere den potensielle innvirkningen på enhetene og dataene deres.

Løsepengene til DoNex Ransomware er:

'!!! DoNex ransomware warning !!!

Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!'