DoNex 勒索软件

信息安全 (infosec) 研究人员在彻底检查潜在恶意软件威胁时发现了一种名为 DoNex 的勒索软件变种。该勒索软件的主要目的是加密受感染设备上存储的数据。网络犯罪分子利用这种有害软件来锁定受害者的数据，意图将其用作勒索金钱的手段。

成功渗透后，DoNex 勒索软件会通过提供勒索字条与受影响的用户或组织进行通信，通常名为“Readme.[VICTIM_ID].txt”。此外，该威胁还通过附加自己独特的扩展名来更改所有加密文件的文件名，该扩展名充当特定受害者的 ID。例如，最初名为“1.doc”的文件会转换为“1.doc.f58A66B61”，而“2.pdf”则变为“2.pdf.f58A66B61”，依此类推。

DoNex 勒索软件对受感染设备造成严重损害

与 DoNex 勒索软件相关的勒索字条以警告开头，提醒受害者存在 DoNex 威胁，并表明他们的数据已经过加密。攻击者提出最后通牒，表明如果不遵守赎金要求，受害者的数据将被公布在 TOR 网站上。为了方便访问，该注释提供了下载 Tor 浏览器的链接，这是浏览指定网站所需的工具。

为了减轻一些担忧，该说明声称寻求赎金的组织并非出于政治动机，而只是寻求经济利益。受害者可以放心，在付款后，网络犯罪分子将提供解密程序并删除受损的数据，这强调了受害者维护声誉的重要性。

为了建立一定程度的信任，该说明提供了免费解密一个文件的提议，允许受害者验证解密过程的有效性。还提供联系信息，包括 Tox ID、电子邮件地址“donexsupport@onionmail.org”以及针对删除或修改文件的警告说明，因为此类操作可能会导致文件损坏。该说明最后以威胁警告称，如果仍未支付赎金，受害者的公司未来可能会受到攻击。

受害者必须抵制向赎金要求屈服，因为即使在收到赎金后，也不能保证攻击者会履行提供解密工具的承诺。此外，从受感染的计算机中及时删除勒索软件至关重要。这不仅降低了进一步加密的风险，还有助于阻止勒索软件传播到同一网络内的其他计算机的潜在风险。值得注意的是，消除勒索软件威胁并不会自动恢复对已加密文件和数据的访问。

在所有设备上采用强大的安全方法

为了保护机器和数据免受勒索软件攻击，强烈建议用户实施一整套旨在预防、检测和缓解的措施。以下是主要建议：

• 安装和更新安全软件：使用信誉良好的反恶意软件软件来检测和阻止勒索软件。保持安全软件最新，以确保防范最新威胁。
• 定期更新操作系统和软件：及时更新操作系统、应用程序和软件，以修补可能被勒索软件利用的漏洞。
• 谨慎对待电子邮件：避免打开来自未知或可疑来源的电子邮件。避免与未经请求的电子邮件中的链接进行交互或下载附件。
• 定期备份数据：定期将重要信息备份到外部设备或安全的云服务。确保备份离线存储或限制访问，以防止它们受到勒索软件的损害。
• 使用网络安全措施：采用防火墙、入侵检测/预防系统和安全 Wi-Fi 网络来防止未经授权的访问和勒索软件传播。
• 启用双因素身份验证 (2FA) ：尽可能实施 2FA 来增强安全性，使未经授权的用户更难获得访问权限。
• 教育和培训用户：教育用户有关网络犯罪分子使用的网络钓鱼攻击和社会工程策略的风险。提供有关如何识别和报告潜在威胁的培训。
• 限制用户权限：将用户权限限制为其角色所需的级别，从而最大限度地减少潜在勒索软件感染的影响。

通过结合这些措施，用户可以针对勒索软件攻击建立强大的防御，降低感染风险并最大限度地减少对其设备和数据的潜在影响。

DoNex 勒索软件的勒索信息为：

'!!! DoNex ransomware warning !!!

Your data are stolen and encrypted

The data will be published on TOR website if you do not pay the ransom

Links for Tor Browser:

What guarantees that we will not deceive you?

We are not a politically motivated group and we do not need anything other than your money.

If you pay, we will provide you the programs for decryption and we will delete your data.

If we do not give you decrypters, or we do not delete your data after payment, then nobody will pay us in the future.

Therefore to us our reputation is very important. We attack the companies worldwide and there is no dissatisfied victim after payment.

You need contact us and decrypt one file for free on these TOR sites with your personal DECRYPTION ID

Download and install TOR Browser hxxps://www.torproject.org/
Write to a chat and wait for the answer, we will always answer you.

You can install qtox to contanct us online hxxps://tox.chat/download.html
Tox ID Contact: 2793D009872AF80ED9B1A461F7B9BD6209 744047DC1707A42CB622053716AD4BA624193606C9

Mail (OnionMail) Support: donexsupport@onionmail.org

Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!

Warning! If you do not pay the ransom we will attack your company repeatedly again!'