D0nut Ransomware
D0nut Ransomware-trusselen bruker en kryptografisk algoritme som ikke kan knekkes for å gjøre dataene til ofrene fullstendig ubrukelige. Filer, som dokumenter, bilder, bilder, arkiver, databaser og mange andre vil effektivt bli låst, og gjenoppretting av dem uten å kjenne til de riktige dekrypteringsnøklene vil være praktisk talt umulig. Trusselaktørene som er ansvarlige for D0nut Ransomware er økonomisk motiverte og vil prøve å presse penger fra brukerne eller organisasjonene de bryter med suksess.
Ofre for trusselen vil legge merke til at alle berørte filer er merket ved å ha '.d0nut' knyttet til sine opprinnelige navn som en ny filtype. Trusselen vil slippe tre løsepenger på de infiserte systemene. To av de løsepengekrevende meldingene vil bli levert som filer kalt 'd0nut.html', mens et annet sett med instruksjoner vil vises i et popup-vindu.
De to HTML-filene inneholder nesten identiske instruksjoner. Tilsynelatende gir hackerne sine ofre 96 timer på å etablere kontakt før de øker størrelsen på løsepengene de vil kreve for gjenoppretting av de låste dataene. I tillegg oppgir hackerne at de kan dekryptere gratis opptil 2 filer som er mindre enn 2MB i total størrelse og ikke inneholder viktig informasjon. To kommunikasjonskanaler er nevnt i løsepengene - ved å bruke Tox chat-klienten eller besøke et dedikert nettsted som er vert på TOR-nettverket.
Instruksjonene levert som HTML-filer ligner på:
'Microsoft Windows [versjon 0.0.31337.0.0]
(c) Microsoft Corporation. Alle rettigheter forbeholdt.C:\Users\Administrator> powershell Get-EventLog Security
C:\Brukere\Administrator> Feil..For ikke så lenge siden oppdaget vi et alvorlig problem med nettverket ditt og bestemte oss for å hjelpe deg. Så hva skjedde?
Alle filer er kryptert med Integrated Encryption Scheme.
Filstrukturen ble ikke skadet. Du har blitt tildelt en unik identifikator. Etter infeksjon har du 96 timer på deg til å erklære dekryptering. Etter utløpet av 96 timer vil dekrypteringskostnaden automatisk økes.
Nå bør du sende oss en melding med din personlige ID, som står nederst i meldingen. Vi håper at du forstår viktigheten av arbeidet vi har gjort, dersom sårbarheten ble funnet av noen andre, er det mulig at konsekvensene av angrepet kan være mye mer følsomt enn den vanlige betalingen av penger til oss for arbeid.
Før du betaler kan du sende oss 2 filer for gratis dekryptering. Den totale størrelsen på filene må være mindre enn 1 Mb (ikke arkivert), og filene skal ikke inneholde verdifull informasjon (databaser, sikkerhetskopier, store Excel
Merk følgende! Hvis du vil gjenopprette DATAENE DINE uten problemer - ALDRI start på nytt, koble fra harddisker eller ta noen handling med mindre du vet HVA DU GJØR!!!
Ellers kan vi ikke være 100% sikre på at dekryptering vil fungere riktig.
DETTE ER SPESIELT KNYTTET TIL ESXI!!!
Hvis du prøver å bruke tredjepartsprogramvare for å gjenopprette data eller antivirusløsninger - kan dette føre til fullstendig skade på alle filer og uopprettelig tap, siden det ikke lenger vil være mulig å gjenopprette dem. Eventuelle endringer i krypterte filer kan medføre skade på den private nøkkelen og som et resultat tap av all data.
din personlige id: F3AA226DACCDA0EF
Brukernavn og passord er identiske med ovenfor. Siden vi bruker SSL(https)-kryptering så vel som .onion, er sertifikatet ikke riktig signert, ellers ville serverens IP-adresse være synlig for alle. Så for å komme inn i chatten, må du bekrefte unntaket for usikker tilkobling. Takk for forståelsen.
Du kan laste ned TOX her > hxxps://tox.chat/download.html
Du kan også skrive til chatten i TOR-nettverket på:
hxxps://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
Du kan laste ned TOR-nettleseren her > hxxps://www.torproject.org/download/
vår TOX nedenfor >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Alt godt og godt humør, jeg håper du leser denne meldingen nøye og allerede vet hva du skal gjøre XDXD'
Popup-vinduet viste følgende løsepengenotat:
MERK FØLGENDE!!! Systemet er låst.
'Alle data er allerede kryptert. For å unngå tap anbefaler vi at du leser instruksjonene nøye.
Din personlige ID: -
Det er også passordet for å få tilgang til chatten.Trykk OK-knappen for å laste ned chat-appen hvor du kan få mer støtte.
OBS: hxxps://transfer.sh skal ikke være i en blokkeringsliste.
Flaks
[OK]'
