D0nut рансъмуер

Заплахата D0nut Ransomware използва неразбиваем криптографски алгоритъм, за да направи данните на своите жертви напълно неизползваеми. Файлове като документи, изображения, снимки, архиви, бази данни и много други ще бъдат ефективно заключени и възстановяването им без познаване на правилните ключове за дешифриране ще бъде практически невъзможно. Актьорите на заплахите, отговорни за D0nut Ransomware, са финансово мотивирани и ще се опитат да изнудват пари от потребителите или организациите, които са пробили успешно.

Жертвите на заплахата ще забележат, че всички засегнати файлове са маркирани с '.d0nut', прикрепен към оригиналните им имена като ново файлово разширение. Заплахата ще пусне три бележки за откуп върху заразените системи. Две от съобщенията с искане на откуп ще бъдат доставени като файлове с име „d0nut.html“, докато различен набор от инструкции ще бъде показан в изскачащ прозорец.

Двата HTML файла съдържат почти идентични инструкции. Очевидно хакерите дават на жертвите си 96 часа, за да установят контакт, преди да увеличат размера на откупа, който ще искат за възстановяване на заключените данни. Освен това хакерите заявяват, че могат да дешифрират безплатно до 2 файла, които са с общ размер под 2MB и не съдържат важна информация. В бележката за откупа се споменават два канала за комуникация - използване на клиента за чат Tox или посещение на специален уебсайт, хостван в мрежата TOR.

Инструкциите, доставени като HTML файлове, са подобни на:

„Microsoft Windows [Версия 0.0.31337.0.0]
(c) Microsoft Corporation. Всички права запазени.

C:\Users\Administrator> powershell Get-EventLog Security
C:\Users\Administrator> Грешка..

Не толкова отдавна открихме сериозен проблем с вашата мрежа и решихме да ви помогнем. И какво стана?
Всички файлове са криптирани с интегрирана схема за криптиране.
Файловата структура не е повредена. Присвоен ви е уникален идентификатор. След заразяването имате 96 часа да декларирате дешифриране. След изтичане на 96 часа цената за декриптиране ще бъде автоматично увеличена.
Сега трябва да ни изпратите съобщение с личния си идентификатор, който е в долната част на съобщението. Надяваме се, че разбирате важността на работата, която сме свършили, ако уязвимостта е открита от някой друг, възможно е последствията от атаката може да бъде много по-чувствителна от обичайното плащане на пари, които ни се дължат за работа.
Преди плащане можете да ни изпратите 2 файла за безплатно декриптиране. Общият размер на файловете трябва да е по-малък от 1Mb (неархивирани) и файловете не трябва да съдържат ценна информация (бази данни, архиви, голям excel
внимание! Ако искате да ВЪЗСТАНОВИТЕ ДАННИТЕ СИ без проблеми - НИКОГА не рестартирайте, не изключвайте твърдите дискове и не предприемайте никакви действия, освен ако не знаете КАКВО ПРАВИТЕ!!!
В противен случай не можем да бъдем 100% сигурни, че дешифраторът ще работи правилно.
ТОВА Е ОСОБЕНО СВЪРЗАНО С ESXI!!!
Ако се опитате да използвате софтуер на трета страна за възстановяване на вашите данни или антивирусни решения - това може да доведе до пълна повреда на всички файлове и тяхната безвъзвратна загуба, тъй като вече няма да е възможно да ги възстановите. Всички промени в криптираните файлове могат да доведат до повреда на частния ключ и в резултат на това до загуба на всички данни.
вашият личен номер: F3AA226DACCDA0EF
Потребителското име и паролата са идентични с горните. Тъй като използваме SSL(https) криптиране, както и .onion, сертификатът не е правилно подписан, в противен случай IP адресът на нашия сървър ще бъде видим за всички. Така че, за да влезете в чата, трябва да потвърдите изключението за несигурна връзка. Благодаря ви за разбирането.
Можете да изтеглите TOX тук > hxxps://tox.chat/download.html
Можете също да пишете в чата, намиращ се в мрежата TOR на адрес:
hxxps://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
Можете да изтеглите TOR браузъра тук > hxxps://www.torproject.org/download/
нашият TOX по-долу >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Всичко най-добро и добро настроение, надявам се, че сте прочели внимателно това съобщение и вече знаете какво да правите XDXD'

Изскачащият прозорец показва следната бележка за откуп:

ВНИМАНИЕ!!! Системата е заключена.

„Всички данни вече са криптирани. За да избегнете загуби, препоръчваме ви внимателно да прочетете инструкциите.

Вашата лична карта: -
Това е и паролата за достъп до чата.

Натиснете бутона OK, за да изтеглите приложението за чат, където можете да получите повече поддръжка.

ВНИМАНИЕ: hxxps://transfer.sh не трябва да е в списък за блокиране.

Късмет
[ДОБРЕ]'