Ciambella ransomware

La minaccia D0nut Ransomware utilizza un algoritmo crittografico non decifrabile per rendere completamente inutilizzabili i dati delle sue vittime. File, come documenti, immagini, foto, archivi, database e molti altri saranno effettivamente bloccati e il loro ripristino senza conoscere le chiavi di decrittazione corrette sarà praticamente impossibile. Gli attori delle minacce responsabili del D0nut Ransomware sono finanziariamente motivati e cercheranno di estorcere denaro agli utenti o alle organizzazioni che violano con successo.

Le vittime della minaccia noteranno che tutti i file interessati sono contrassegnati da ".d0nut" allegato ai loro nomi originali come nuova estensione di file. La minaccia rilascerà tre note di riscatto sui sistemi infetti. Due dei messaggi di richiesta di riscatto verranno consegnati come file denominati "d0nut.html", mentre un diverso insieme di istruzioni verrà mostrato in una finestra pop-up.

I due file HTML contengono istruzioni quasi identiche. Apparentemente, gli hacker concedono alle loro vittime 96 ore per stabilire un contatto prima di aumentare la dimensione del riscatto che chiederanno per il ripristino dei dati bloccati. Inoltre, gli hacker affermano che possono decrittografare gratuitamente fino a 2 file di dimensioni totali inferiori a 2 MB e che non contengono informazioni importanti. Nella richiesta di riscatto sono menzionati due canali di comunicazione: utilizzare il client di chat Tox o visitare un sito Web dedicato ospitato sulla rete TOR.

Le istruzioni fornite come file HTML sono simili a:

'Microsoft Windows [versione 0.0.31337.0.0]
(c) Microsoft Corporation. Tutti i diritti riservati.

C:\Utenti\Amministratore> powershell Get-EventLog Security
C:\Utenti\Amministratore> Errore..

Non molto tempo fa, abbiamo scoperto un grave problema con la tua rete e abbiamo deciso di aiutarti. Allora, cos'è successo?
Tutti i file sono crittografati con Integrated Encryption Scheme.
La struttura del file non è stata danneggiata. Ti è stato assegnato un identificatore univoco. Dopo l'infezione, hai 96 ore per dichiarare la decrittazione. Dopo la scadenza di 96 ore, il costo di decrittazione verrà aumentato automaticamente.
Ora dovresti inviarci un messaggio con il tuo ID personale, che si trova in fondo al messaggio. Ci auguriamo che tu comprenda l'importanza del lavoro che abbiamo svolto, se la vulnerabilità è stata trovata da qualcun altro, è possibile che le conseguenze di l'attacco potrebbe essere molto più delicato del solito pagamento di denaro dovuto a noi per il lavoro.
Prima di pagare puoi inviarci 2 file per la decrittazione gratuita. La dimensione totale dei file deve essere inferiore a 1 Mb (non archiviati) e i file non devono contenere informazioni preziose (database, backup, file Excel di grandi dimensioni
Attenzione! Se vuoi RECUPERARE I TUOI DATI senza problemi - MAI riavviare, scollegare i dischi rigidi o intraprendere alcuna azione a meno che tu non sappia COSA STAI FACENDO!!!
Altrimenti, non possiamo essere sicuri al 100% che il decryptor funzioni correttamente.
QUESTO È PARTICOLARMENTE CORRELATO A ESXI!!!
Se proverai a utilizzare software di terze parti per ripristinare i tuoi dati o soluzioni antivirus, ciò può causare danni completi a tutti i file e alla loro perdita irrecuperabile, poiché non sarà più possibile ripristinarli. Eventuali modifiche ai file crittografati possono comportare il danneggiamento della chiave privata e, di conseguenza, la perdita di tutti i dati.
il tuo ID personale: F3AA226DACCDA0EF
Nome utente e password sono identici a quelli sopra. Poiché utilizziamo la crittografia SSL (https) oltre a .onion, il certificato non è firmato correttamente, altrimenti l'indirizzo IP del nostro server sarebbe visibile a tutti. Quindi, per entrare nella chat, devi confermare l'eccezione di connessione non sicura. Grazie per la comprensione.
Puoi scaricare TOX qui > hxxps://tox.chat/download.html
Puoi anche scrivere alla chat che si trova nella rete TOR all'indirizzo:
hxxps://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
Puoi scaricare il browser TOR qui > hxxps://www.torproject.org/download/
il nostro TOX qui sotto >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Ti auguro il meglio e buon umore, spero che tu legga attentamente questo messaggio e sappia già cosa fare XDXD'

La finestra pop-up mostrava la seguente nota di riscatto:

ATTENZIONE!!! Il sistema è bloccato.

'Tutti i dati sono già crittografati. Per evitare perdite, si consiglia di leggere attentamente le istruzioni.

Il tuo ID personale: -
È anche la password per accedere alla chat.

Premi il pulsante OK per scaricare l'app di chat dove puoi ottenere maggiore supporto.

ATTENZIONE: hxxps://transfer.sh non dovrebbe essere in una blocklist.

Fortuna
[OK]'