D0nut-ransomware

De D0nut Ransomware-dreiging gebruikt een onkraakbaar cryptografisch algoritme om de gegevens van zijn slachtoffers volledig onbruikbaar te maken. Bestanden, zoals documenten, afbeeldingen, foto's, archieven, databases en vele andere, worden effectief vergrendeld en het is praktisch onmogelijk om ze te herstellen zonder de juiste decoderingssleutels te kennen. De bedreigingsactoren die verantwoordelijk zijn voor de D0nut Ransomware zijn financieel gemotiveerd en zullen proberen geld af te persen van de gebruikers of organisaties die ze met succes hebben binnengedrongen.

Slachtoffers van de dreiging zullen merken dat alle getroffen bestanden zijn gemarkeerd met '.d0nut' als nieuwe bestandsextensie aan hun oorspronkelijke naam. De dreiging laat drie losgeldbriefjes op de geïnfecteerde systemen vallen. Twee van de berichten waarin losgeld wordt gevraagd, worden afgeleverd als bestanden met de naam 'd0nut.html', terwijl een andere reeks instructies in een pop-upvenster wordt weergegeven.

De twee HTML-bestanden bevatten vrijwel identieke instructies. Blijkbaar geven de hackers hun slachtoffers 96 uur de tijd om contact op te nemen voordat ze het losgeld verhogen dat ze zullen eisen voor het herstel van de vergrendelde gegevens. Bovendien stellen de hackers dat ze maximaal 2 bestanden mogen decoderen die in totaal minder dan 2 MB groot zijn en geen belangrijke informatie bevatten. Er worden twee communicatiekanalen genoemd in de losgeldbrief: de Tox-chatclient gebruiken of een speciale website bezoeken die wordt gehost op het TOR-netwerk.

De instructies die als HTML-bestanden worden geleverd, zijn vergelijkbaar met:

'Microsoft Windows [versie 0.0.31337.0.0]
(c)Microsoft Corporation. Alle rechten voorbehouden.

C:\Users\Administrator> powershell Get-EventLog-beveiliging
C:\Gebruikers\Beheerder> Fout..

Nog niet zo lang geleden ontdekten we een ernstig probleem met je netwerk en besloten we je te helpen. Dus wat gebeurde er?
Alle bestanden zijn versleuteld met Integrated Encryption Scheme.
De bestandsstructuur was niet beschadigd. U heeft een unieke identificatie gekregen. Na infectie heeft u 96 uur om decodering aan te geven. Na het verstrijken van 96 uur worden de decoderingskosten automatisch verhoogd.
Nu moet u ons een bericht sturen met uw persoonlijke ID, die onderaan het bericht staat. We hopen dat u het belang begrijpt van het werk dat we hebben gedaan. Als de kwetsbaarheid door iemand anders is gevonden, is het mogelijk dat de gevolgen van de aanval zou veel gevoeliger kunnen zijn dan de gebruikelijke betaling van geld dat ons voor werk verschuldigd is.
Voordat u betaalt, kunt u ons 2 bestanden sturen voor gratis decodering. De totale grootte van bestanden moet kleiner zijn dan 1Mb (niet-gearchiveerd) en bestanden mogen geen waardevolle informatie bevatten (databases, back-ups, grote Excel-bestanden).
Aandacht! Als u UW GEGEVENS zonder problemen wilt HERSTELLEN - NOOIT opnieuw opstarten, harde schijven loskoppelen of actie ondernemen tenzij u weet WAT U DOET!!!
Anders kunnen we er niet 100% zeker van zijn dat de decryptor correct zal werken.
DIT IS VOORAL GERELATEERD AAN ESXI!!!
Als u software van derden probeert te gebruiken voor het herstellen van uw gegevens of antivirusoplossingen, kan dit leiden tot volledige schade aan alle bestanden en hun onherstelbaar verlies, aangezien het niet langer mogelijk is om ze te herstellen. Wijzigingen in versleutelde bestanden kunnen leiden tot beschadiging van de privésleutel en als gevolg daarvan tot het verlies van alle gegevens.
uw persoonlijke id: F3AA226DACCDA0EF
Gebruikersnaam en wachtwoord zijn identiek aan hierboven. Omdat we zowel SSL(https)-codering als .onion gebruiken, is het certificaat niet correct ondertekend, anders zou ons server-IP-adres voor iedereen zichtbaar zijn. Dus om in de chat te komen, moet u de uitzondering voor een onveilige verbinding bevestigen. Dank u voor uw begrip.
Je kunt TOX hier downloaden > hxxps://tox.chat/download.html
U kunt ook schrijven naar de chat in het TOR-netwerk op:
hxxps://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
U kunt de TOR-browser hier downloaden > hxxps://www.torproject.org/download/
onze TOX hieronder >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Het allerbeste en een goed humeur, ik hoop dat je dit bericht aandachtig leest en al weet wat je moet doen XDXD'

Het pop-upvenster toonde de volgende losgeldbrief:

AANDACHT!!! Het systeem is vergrendeld.

'Alle gegevens zijn al versleuteld. Om verliezen te voorkomen, raden wij u aan de instructies aandachtig te lezen.

Uw persoonlijke ID: -
Het is ook het wachtwoord om toegang te krijgen tot de chat.

Druk op de knop OK om de chat-app te downloaden waar u meer ondersteuning kunt krijgen.

LET OP: hxxps://transfer.sh hoort niet in een blokkeerlijst te staan.

Geluk
[OKÉ]'