โดเน็กซ์ แรนซั่มแวร์

นักวิจัยด้านความปลอดภัยของข้อมูล (infosec) ระบุตัวแปรแรนซัมแวร์ที่เรียกว่า DoNex ในระหว่างการตรวจสอบภัยคุกคามมัลแวร์ที่อาจเกิดขึ้นอย่างละเอียด แรนซัมแวร์นี้ได้รับการออกแบบโดยมีวัตถุประสงค์หลักในการเข้ารหัสข้อมูลที่จัดเก็บไว้ในอุปกรณ์ที่ถูกบุกรุก อาชญากรไซเบอร์ใช้ซอฟต์แวร์ที่เป็นอันตรายนี้เพื่อล็อคข้อมูลของเหยื่อ โดยตั้งใจที่จะใช้ข้อมูลดังกล่าวเป็นวิธีการขู่กรรโชกเพื่อหารายได้

เมื่อการแทรกซึมสำเร็จ DoNex Ransomware จะสื่อสารกับผู้ใช้หรือองค์กรที่ได้รับผลกระทบโดยแสดงบันทึกเรียกค่าไถ่ ซึ่งโดยทั่วไปจะมีชื่อว่า 'Readme.[VICTIM_ID].txt' นอกจากนี้ ภัยคุกคามยังเปลี่ยนชื่อไฟล์ของไฟล์ที่เข้ารหัสทั้งหมดโดยการต่อท้ายส่วนขยายเฉพาะของตัวเอง ซึ่งทำหน้าที่เป็น ID สำหรับเหยื่อรายใดรายหนึ่ง ตัวอย่างเช่น ไฟล์ที่เดิมชื่อ '1.doc' จะถูกแปลงเป็น '1.doc.f58A66B61' ในขณะที่ '2.pdf' จะกลายเป็น '2.pdf.f58A66B61' และอื่นๆ

DoNex Ransomware ก่อให้เกิดความเสียหายร้ายแรงต่ออุปกรณ์ที่ติดไวรัส

บันทึกค่าไถ่ที่เกี่ยวข้องกับ DoNex Ransomware เริ่มต้นด้วยคำเตือน แจ้งเตือนเหยื่อถึงภัยคุกคาม DoNex และแจ้งว่าข้อมูลของพวกเขาได้รับการเข้ารหัส ผู้โจมตียื่นคำขาด โดยระบุว่าการไม่ปฏิบัติตามข้อเรียกร้องค่าไถ่จะส่งผลให้มีการเผยแพร่ข้อมูลของเหยื่อบนเว็บไซต์ TOR เพื่ออำนวยความสะดวกในการเข้าถึง หมายเหตุนี้จะมีลิงก์สำหรับดาวน์โหลด Tor Browser ซึ่งเป็นเครื่องมือที่จำเป็นในการนำทางเว็บไซต์ที่ระบุ

ในความพยายามที่จะบรรเทาความกังวลบางประการ ข้อความดังกล่าวยืนยันว่ากลุ่มแสวงหาค่าไถ่ไม่ได้ถูกขับเคลื่อนด้วยแรงจูงใจทางการเมือง แต่แสวงหาผลประโยชน์ทางการเงินเท่านั้น เหยื่อมั่นใจได้ว่าเมื่อชำระเงินแล้ว อาชญากรไซเบอร์จะจัดเตรียมโปรแกรมถอดรหัสและลบข้อมูลที่ถูกบุกรุก ซึ่งเน้นย้ำถึงความสำคัญของผู้ที่ตกเป็นเหยื่อในการรักษาชื่อเสียงของตน

เพื่อสร้างระดับความน่าเชื่อถือ หมายเหตุได้ขยายข้อเสนอในการถอดรหัสหนึ่งไฟล์ฟรี ช่วยให้เหยื่อสามารถตรวจสอบประสิทธิภาพของกระบวนการถอดรหัสได้ นอกจากนี้ยังมีการให้ข้อมูลการติดต่อ รวมถึง Tox ID ที่อยู่อีเมลที่ 'donexsupport@onionmail.org' และคำเตือนในการลบหรือแก้ไขไฟล์ เนื่องจากการกระทำดังกล่าวอาจส่งผลให้ไฟล์เสียหายได้ บันทึกปิดท้ายด้วยการข่มขู่ เตือนถึงการโจมตีบริษัทของเหยื่อในอนาคตหากค่าไถ่ยังคงค้างชำระ

มีความจำเป็นสำหรับเหยื่อที่จะต่อต้านการเรียกร้องค่าไถ่ เนื่องจากไม่มีการรับประกันว่าผู้โจมตีจะปฏิบัติตามคำสัญญาในการจัดหาเครื่องมือถอดรหัสแม้ว่าจะได้รับเงินค่าไถ่แล้วก็ตาม นอกจากนี้ การลบแรนซัมแวร์ออกจากคอมพิวเตอร์ที่ถูกบุกรุกทันทีถือเป็นสิ่งสำคัญ สิ่งนี้ไม่เพียงช่วยลดความเสี่ยงของการเข้ารหัสเพิ่มเติม แต่ยังช่วยยับยั้งการแพร่กระจายของแรนซัมแวร์ไปยังคอมพิวเตอร์เครื่องอื่นภายในเครือข่ายเดียวกัน สิ่งสำคัญที่ควรทราบคือการกำจัดภัยคุกคามแรนซัมแวร์ไม่ได้กู้คืนการเข้าถึงไฟล์และข้อมูลที่ได้รับการเข้ารหัสแล้วโดยอัตโนมัติ

นำแนวทางการรักษาความปลอดภัยที่แข็งแกร่งมาใช้ในทุกอุปกรณ์

เพื่อปกป้องเครื่องจักรและข้อมูลจากการโจมตีของแรนซัมแวร์ ขอแนะนำอย่างยิ่งให้ผู้ใช้ใช้ชุดมาตรการที่ครอบคลุมซึ่งมุ่งเป้าไปที่การป้องกัน การตรวจจับ และการบรรเทาผลกระทบ คำแนะนำที่สำคัญมีดังนี้:

• ติดตั้งและอัปเดตซอฟต์แวร์ความปลอดภัย : ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียงเพื่อตรวจจับและบล็อกแรนซัมแวร์ อัปเดตซอฟต์แวร์ความปลอดภัยให้ทันสมัยอยู่เสมอเพื่อให้แน่ใจว่าได้รับการป้องกันจากภัยคุกคามล่าสุด
• อัปเดตระบบปฏิบัติการและซอฟต์แวร์เป็นประจำ : อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ทันทีเพื่อแก้ไขช่องโหว่ที่แรนซัมแวร์อาจโจมตีได้
• ใช้ความระมัดระวังกับอีเมล : หลีกเลี่ยงการเปิดอีเมลจากแหล่งที่ไม่รู้จักหรือน่าสงสัย หลีกเลี่ยงการโต้ตอบกับลิงก์หรือดาวน์โหลดไฟล์แนบจากอีเมลที่ไม่พึงประสงค์
• สำรองข้อมูลเป็นประจำ : สำรองข้อมูลสำคัญเป็นประจำไปยังอุปกรณ์ภายนอกหรือบริการคลาวด์ที่ปลอดภัย ตรวจสอบให้แน่ใจว่าการสำรองข้อมูลถูกเก็บไว้แบบออฟไลน์หรือจำกัดการเข้าถึง เพื่อป้องกันไม่ให้ถูกโจมตีโดยแรนซัมแวร์
• ใช้มาตรการรักษาความปลอดภัยเครือข่าย : ใช้ไฟร์วอลล์ ระบบตรวจจับ/ป้องกันการบุกรุก และเครือข่าย Wi-Fi ที่ปลอดภัย เพื่อป้องกันการเข้าถึงและการแพร่กระจายของแรนซัมแวร์โดยไม่ได้รับอนุญาต
• เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) : ใช้ 2FA ทุกครั้งที่ทำได้เพื่อเสริมความปลอดภัยของคุณ ทำให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงได้ยากขึ้น
• ให้ความรู้และฝึกอบรมผู้ใช้ : ให้ความรู้ผู้ใช้เกี่ยวกับความเสี่ยงของการโจมตีแบบฟิชชิ่งและกลยุทธ์วิศวกรรมสังคมที่อาชญากรไซเบอร์ใช้ ให้การฝึกอบรมเกี่ยวกับวิธีการรับรู้และรายงานภัยคุกคามที่อาจเกิดขึ้น
• จำกัดสิทธิ์ของผู้ใช้ : จำกัดสิทธิ์ผู้ใช้ให้อยู่ในระดับที่จำเป็นสำหรับบทบาทของตนเท่านั้น เพื่อลดผลกระทบจากการติดแรนซัมแวร์ที่อาจเกิดขึ้น

ด้วยการรวมมาตรการเหล่านี้ ผู้ใช้สามารถสร้างการป้องกันที่แข็งแกร่งต่อการโจมตีของแรนซัมแวร์ ลดความเสี่ยงของการติดไวรัส และลดผลกระทบที่อาจเกิดขึ้นกับอุปกรณ์และข้อมูลให้เหลือน้อยที่สุด

หมายเหตุค่าไถ่ของ DoNex Ransomware คือ:

'!!! DoNex ransomware warning !!!

Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!'