Oprogramowanie ransomware D0nut

Zagrożenie D0nut Ransomware wykorzystuje niemożliwy do złamania algorytm kryptograficzny, aby uczynić dane swoich ofiar całkowicie bezużytecznymi. Pliki takie jak dokumenty, obrazy, zdjęcia, archiwa, bazy danych i wiele innych zostaną skutecznie zablokowane, a ich przywrócenie bez znajomości prawidłowych kluczy deszyfrujących będzie praktycznie niemożliwe. Aktorzy zagrożeń odpowiedzialni za D0nut Ransomware są zmotywowani finansowo i będą próbowali wyłudzić pieniądze od użytkowników lub organizacji, którym udało się naruszyć.

Ofiary tego zagrożenia zauważą, że wszystkie pliki, których dotyczy problem, są oznaczone jako nowe rozszerzenie pliku „.d0nut” dołączone do ich oryginalnych nazw. Zagrożenie upuści trzy notatki z żądaniem okupu na zainfekowane systemy. Dwie z żądających okupu wiadomości zostaną dostarczone jako pliki o nazwie „d0nut.html”, podczas gdy inny zestaw instrukcji zostanie wyświetlony w wyskakującym okienku.

Dwa pliki HTML zawierają prawie identyczne instrukcje. Najwyraźniej hakerzy dają swoim ofiarom 96 godzin na nawiązanie kontaktu, zanim zwiększą okup, którego zażądają za przywrócenie zablokowanych danych. Ponadto hakerzy oświadczają, że mogą bezpłatnie odszyfrować do 2 plików o łącznej wielkości mniejszej niż 2 MB i niezawierających ważnych informacji. W żądaniu okupu wymienione są dwa kanały komunikacji - korzystanie z klienta czatu Tox lub odwiedzanie dedykowanej strony internetowej hostowanej w sieci TOR.

Instrukcje dostarczane jako pliki HTML są podobne do:

„Microsoft Windows [wersja 0.0.31337.0.0]
(c) Korporacja Microsoft. Wszelkie prawa zastrzeżone.

C:\Users\Administrator> powershell Get-EventLog Security
C:\Użytkownicy\Administrator> Błąd..

Nie tak dawno temu odkryliśmy poważny problem z Twoją siecią i postanowiliśmy Ci pomóc. Więc co się stało?
Wszystkie pliki są szyfrowane za pomocą zintegrowanego schematu szyfrowania.
Struktura plików nie została uszkodzona. Otrzymałeś unikalny identyfikator. Po infekcji masz 96 godzin na zadeklarowanie odszyfrowania. Po upływie 96 godzin koszt odszyfrowania zostanie automatycznie zwiększony.
Teraz powinieneś wysłać do nas wiadomość ze swoim osobistym identyfikatorem, który znajduje się na dole wiadomości. Mamy nadzieję, że rozumiesz wagę naszej pracy, jeśli luka została odkryta przez kogoś innego, możliwe, że konsekwencje atak może być znacznie bardziej wrażliwy niż zwykła wypłata pieniędzy należnych nam za pracę.
Przed dokonaniem płatności możesz przesłać nam 2 pliki do bezpłatnego odszyfrowania. Całkowity rozmiar plików musi być mniejszy niż 1Mb (niearchiwizowane), a pliki nie powinny zawierać cennych informacji (bazy danych, kopie zapasowe, duże pliki Excel
Uwaga! Jeśli chcesz bezproblemowo ODZYSKAĆ SWOJE DANE - NIGDY nie uruchamiaj ponownie, nie odłączaj dysków twardych ani nie podejmuj żadnych działań, chyba że wiesz CO ROBISZ!!!
W przeciwnym razie nie możemy być w 100% pewni, że deszyfrator będzie działał poprawnie.
DOTYCZY TO SZCZEGÓLNIE ESXI!!!
Jeśli spróbujesz użyć oprogramowania firm trzecich do przywrócenia danych lub rozwiązań antywirusowych - może to doprowadzić do całkowitego uszkodzenia wszystkich plików i ich nieodwracalnej utraty, ponieważ nie będzie już możliwe ich przywrócenie. Jakiekolwiek zmiany w zaszyfrowanych plikach mogą wiązać się z uszkodzeniem klucza prywatnego iw konsekwencji utratą wszystkich danych.
Twój osobisty identyfikator: F3AA226DACCDA0EF
Nazwa użytkownika i hasło są identyczne jak powyżej. Ponieważ używamy szyfrowania SSL(https) oraz .onion, certyfikat nie jest poprawnie podpisany, w przeciwnym razie adres IP naszego serwera byłby widoczny dla wszystkich. Aby więc wejść na czat, musisz potwierdzić wyjątek niezabezpieczonego połączenia. Dziękuję za zrozumienie.
Możesz pobrać TOX tutaj > hxxps://tox.chat/download.html
Możesz również pisać na czacie znajdującym się w sieci TOR pod adresem:
hxxps://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
Możesz pobrać przeglądarkę TOR tutaj > hxxps://www.torproject.org/download/
poniżej nasz TOX >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Wszystkiego najlepszego i dobrego nastroju, mam nadzieję, że uważnie przeczytałeś tę wiadomość i już wiesz, co robić XDXD'

Okno pop-up wyświetlało następującą notatkę z żądaniem okupu:

UWAGA!!! System jest zablokowany.

„Wszystkie dane są już zaszyfrowane. Aby uniknąć strat, zalecamy uważne przeczytanie instrukcji.

Twój osobisty identyfikator: -
Jest to również hasło dostępu do czatu.

Naciśnij przycisk OK, aby pobrać aplikację czatu, w której możesz uzyskać dodatkowe wsparcie.

UWAGA: hxxps://transfer.sh nie powinien znajdować się na liście zablokowanych.

Szczęście
[OK]'