D0nut Ransomware
Η απειλή D0nut Ransomware χρησιμοποιεί έναν κρυπτογραφικό αλγόριθμο που δεν μπορεί να παραβιαστεί για να καταστήσει τα δεδομένα των θυμάτων του εντελώς άχρηστα. Αρχεία, όπως έγγραφα, εικόνες, φωτογραφίες, αρχεία, βάσεις δεδομένων και πολλά άλλα ουσιαστικά θα κλειδωθούν και η αποκατάστασή τους χωρίς να γνωρίζετε τα σωστά κλειδιά αποκρυπτογράφησης θα είναι πρακτικά αδύνατη. Οι παράγοντες απειλών που είναι υπεύθυνοι για το D0nut Ransomware έχουν οικονομικά κίνητρα και θα προσπαθήσουν να αποσπάσουν χρήματα από τους χρήστες ή τους οργανισμούς που παραβιάζουν με επιτυχία.
Τα θύματα της απειλής θα παρατηρήσουν ότι όλα τα επηρεαζόμενα αρχεία επισημαίνονται με το «.d0nut» συνδεδεμένο στο αρχικό τους όνομα ως νέα επέκταση αρχείου. Η απειλή θα ρίξει τρία χαρτονομίσματα για λύτρα στα μολυσμένα συστήματα. Δύο από τα μηνύματα που απαιτούν λύτρα θα παραδοθούν ως αρχεία με το όνομα 'd0nut.html', ενώ ένα διαφορετικό σύνολο οδηγιών θα εμφανιστεί σε ένα αναδυόμενο παράθυρο.
Τα δύο αρχεία HTML περιέχουν σχεδόν πανομοιότυπες οδηγίες. Προφανώς, οι χάκερ δίνουν στα θύματά τους 96 ώρες για να έρθουν σε επαφή πριν αυξήσουν το μέγεθος των λύτρων που θα ζητήσουν για την αποκατάσταση των κλειδωμένων δεδομένων. Επιπλέον, οι χάκερ δηλώνουν ότι μπορούν να αποκρυπτογραφήσουν δωρεάν έως και 2 αρχεία που έχουν συνολικό μέγεθος μικρότερο από 2MB και δεν περιέχουν σημαντικές πληροφορίες. Δύο κανάλια επικοινωνίας αναφέρονται στο σημείωμα λύτρων - χρήση του προγράμματος-πελάτη συνομιλίας Tox ή επίσκεψη σε έναν αποκλειστικό ιστότοπο που φιλοξενείται στο δίκτυο TOR.
Οι οδηγίες που παρέχονται ως αρχεία HTML είναι παρόμοιες με:
«Microsoft Windows [Έκδοση 0.0.31337.0.0]
(γ) Microsoft Corporation. Ολα τα δικαιώματα διατηρούνται.C:\Users\Administrator> powershell Get-EventLog Security
C:\Users\Administrator> Σφάλμα..Πριν από λίγο καιρό, ανακαλύψαμε ένα σοβαρό πρόβλημα με το δίκτυό σας και αποφασίσαμε να σας βοηθήσουμε. Λοιπόν τι έγινε?
Όλα τα αρχεία είναι κρυπτογραφημένα με Ενσωματωμένο Σχέδιο Κρυπτογράφησης.
Η δομή του αρχείου δεν έχει καταστραφεί. Σας έχει εκχωρηθεί ένα μοναδικό αναγνωριστικό. Μετά τη μόλυνση, έχετε 96 ώρες για να δηλώσετε την αποκρυπτογράφηση. Μετά την πάροδο των 96 ωρών, το κόστος αποκρυπτογράφησης θα αυξηθεί αυτόματα.
Τώρα θα πρέπει να μας στείλετε μήνυμα με την προσωπική σας ταυτότητα, η οποία βρίσκεται στο κάτω μέρος του μηνύματος. Ελπίζουμε ότι καταλαβαίνετε τη σημασία της δουλειάς που έχουμε κάνει, εάν η ευπάθεια εντοπίστηκε από κάποιον άλλο, είναι πιθανό οι συνέπειες του η επίθεση θα μπορούσε να είναι πολύ πιο ευαίσθητη από τη συνηθισμένη πληρωμή χρημάτων που οφείλουμε για εργασία.
Πριν πληρώσετε μπορείτε να μας στείλετε 2 αρχεία για δωρεάν αποκρυπτογράφηση. Το συνολικό μέγεθος των αρχείων πρέπει να είναι μικρότερο από 1 Mb (μη αρχειοθετημένο) και τα αρχεία δεν πρέπει να περιέχουν πολύτιμες πληροφορίες (βάσεις δεδομένων, αντίγραφα ασφαλείας, μεγάλο excel
Προσοχή! Εάν θέλετε να ΑΝΑΚΤΗΣΕΤΕ ΤΑ ΔΕΔΟΜΕΝΑ ΣΑΣ χωρίς προβλήματα - ΠΟΤΕ μην κάνετε επανεκκίνηση, αποσυνδέετε τους σκληρούς δίσκους ή προβείτε σε οποιαδήποτε ενέργεια εκτός και αν γνωρίζετε ΤΙ ΚΑΝΕΤΕ!!!
Διαφορετικά, δεν μπορούμε να είμαστε 100% σίγουροι ότι ο αποκρυπτογραφητής θα λειτουργήσει σωστά.
ΑΥΤΟ ΕΧΕΙ ΕΙΔΙΚΑ ΣΧΕΤΙΚΑ ΜΕ ΤΟ ESXI!!!
Εάν προσπαθήσετε να χρησιμοποιήσετε οποιοδήποτε λογισμικό τρίτων για την επαναφορά των δεδομένων σας ή των λύσεων προστασίας από ιούς - αυτό μπορεί να οδηγήσει σε πλήρη ζημιά σε όλα τα αρχεία και ανεπανόρθωτη απώλεια, καθώς δεν θα είναι πλέον δυνατή η επαναφορά τους. Οποιεσδήποτε αλλαγές σε κρυπτογραφημένα αρχεία ενδέχεται να συνεπάγονται καταστροφή του ιδιωτικού κλειδιού και, ως εκ τούτου, απώλεια όλων των δεδομένων.
την προσωπική σας ταυτότητα: F3AA226DACCDA0EF
Το όνομα χρήστη και ο κωδικός πρόσβασης είναι πανομοιότυπα με τα παραπάνω. Εφόσον χρησιμοποιούμε κρυπτογράφηση SSL(https) καθώς και .onion, το πιστοποιητικό δεν έχει υπογραφεί σωστά, διαφορετικά η διεύθυνση IP του διακομιστή μας θα είναι ορατή σε όλους. Επομένως, για να μπείτε στη συνομιλία, πρέπει να επιβεβαιώσετε την εξαίρεση της μη ασφαλούς σύνδεσης. Σας ευχαριστούμε για την κατανόηση.
Μπορείτε να κάνετε λήψη του TOX εδώ > hxxps://tox.chat/download.html
Μπορείτε επίσης να γράψετε στη συνομιλία που βρίσκεται στο δίκτυο TOR στη διεύθυνση:
hxxps://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
Μπορείτε να κατεβάσετε το πρόγραμμα περιήγησης TOR εδώ > hxxps://www.torproject.org/download/
Το TOX μας παρακάτω > 🙂
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Ό,τι καλύτερο και καλή διάθεση, ελπίζω να διαβάσετε προσεκτικά αυτό το μήνυμα και να ξέρετε ήδη τι να κάνετε XDXD'
Το αναδυόμενο παράθυρο εμφάνισε την ακόλουθη σημείωση λύτρων:
ΠΡΟΣΟΧΗ!!! Το σύστημα είναι κλειδωμένο.
«Όλα τα δεδομένα είναι ήδη κρυπτογραφημένα. Για να αποφύγετε απώλειες, σας συνιστούμε να διαβάσετε προσεκτικά τις οδηγίες.
Η προσωπική σας ταυτότητα: -
Είναι επίσης ο κωδικός πρόσβασης στη συνομιλία.Πατήστε το κουμπί OK για να κατεβάσετε την εφαρμογή συνομιλίας όπου μπορείτε να λάβετε περισσότερη υποστήριξη.
ΠΡΟΣΟΧΗ: Το hxxps://transfer.sh δεν πρέπει να βρίσκεται σε λίστα αποκλεισμού.
Τυχη
[ΕΝΤΑΞΕΙ]'
