D0nut Ransomware
Hrozba D0nut Ransomware využíva neprelomiteľný kryptografický algoritmus na to, aby boli údaje svojich obetí úplne nepoužiteľné. Súbory, ako sú dokumenty, obrázky, fotografie, archívy, databázy a mnohé ďalšie budú efektívne uzamknuté a ich obnovenie bez znalosti správnych dešifrovacích kľúčov bude prakticky nemožné. Aktéri hrozieb zodpovední za D0nut Ransomware sú finančne motivovaní a budú sa snažiť vymôcť peniaze od používateľov alebo organizácií, ktoré úspešne porušia.
Obete hrozby si všimnú, že všetky ovplyvnené súbory sú označené '.d0nut' pripojeným k ich pôvodným menám ako nová prípona súboru. Hrozba zahodí tri výkupné na infikované systémy. Dve správy požadujúce výkupné budú doručené ako súbory s názvom „d0nut.html“, zatiaľ čo iná sada pokynov sa zobrazí vo vyskakovacom okne.
Dva súbory HTML obsahujú takmer identické pokyny. Zdá sa, že hackeri dávajú svojim obetiam 96 hodín na nadviazanie kontaktu, kým zvýšia výkupné, ktoré budú požadovať za obnovenie uzamknutých údajov. Okrem toho hackeri uvádzajú, že môžu zadarmo dešifrovať až 2 súbory, ktorých celková veľkosť je menšia ako 2 MB a neobsahujú dôležité informácie. V poznámke o výkupnom sú uvedené dva komunikačné kanály – používanie chatovacieho klienta Tox alebo návšteva vyhradenej webovej stránky hosťovanej v sieti TOR.
Pokyny dodané ako súbory HTML sú podobné:
„Microsoft Windows [Verzia 0.0.31337.0.0]
(c) Microsoft Corporation. Všetky práva vyhradené.C:\Users\Administrator> Powershell Get-EventLog Security
C:\Users\Administrator> Chyba..Nie je to tak dávno, čo sme objavili vážny problém vo vašej sieti a rozhodli sme sa vám pomôcť. Takže, čo sa stalo?
Všetky súbory sú šifrované pomocou Integrated Encryption Scheme.
Štruktúra súboru nebola poškodená. Bol vám pridelený jedinečný identifikátor. Po infekcii máte 96 hodín na vyhlásenie dešifrovania. Po uplynutí 96 hodín sa cena za dešifrovanie automaticky zvýši.
Teraz by ste nám mali poslať správu s vaším osobným ID, ktoré je v spodnej časti správy. Dúfame, že chápete dôležitosť práce, ktorú sme vykonali, ak zraniteľnosť našiel niekto iný, je možné, že následky útok by mohol byť oveľa citlivejší ako bežné vyplácanie peňazí, ktoré nám patrí za prácu.
Pred zaplatením nám môžete poslať 2 súbory na bezplatné dešifrovanie. Celková veľkosť súborov musí byť menšia ako 1 Mb (nearchivované) a súbory by nemali obsahovať cenné informácie (databázy, zálohy, veľký excel
Pozor! Ak chcete bez problémov OBNOVIŤ VAŠE ÚDAJE – NIKDY nereštartujte, neodpájajte pevné disky ani nerobte žiadnu akciu, pokiaľ neviete, ČO ROBÍTE!!!
V opačnom prípade si nemôžeme byť 100% istí, že dešifrovač bude fungovať správne.
TOTO TÝKA HLAVNE S ESXI!!!
Ak sa pokúsite použiť akýkoľvek softvér tretích strán na obnovu údajov alebo antivírusové riešenia - môže to viesť k úplnému poškodeniu všetkých súborov a ich nenahraditeľnej strate, pretože ich už nebude možné obnoviť. Akékoľvek zmeny v zašifrovaných súboroch môžu spôsobiť poškodenie súkromného kľúča a v dôsledku toho stratu všetkých údajov.
vaše osobné ID: F3AA226DACCDA0EF
Používateľské meno a heslo sú rovnaké ako vyššie. Keďže používame šifrovanie SSL(https) aj .onion, certifikát nie je správne podpísaný, inak by bola IP adresa nášho servera viditeľná pre každého. Aby ste sa dostali do chatu, musíte potvrdiť výnimku nezabezpečeného pripojenia. Ďakujem za pochopenie.
TOX si môžete stiahnuť tu > hxxps://tox.chat/download.html
Môžete tiež napísať do chatu v sieti TOR na:
hxxps://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
Prehliadač TOR si môžete stiahnuť tu > hxxps://www.torproject.org/download/
náš TOX nižšie > 🙂
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Všetko najlepšie a dobrú náladu, dúfam, že si pozorne prečítate túto správu a už viete, čo máte robiť XDXD'
V kontextovom okne sa zobrazila nasledujúca poznámka o výkupnom:
POZOR!!! Systém je uzamknutý.
„Všetky dáta sú už zašifrované. Aby ste predišli stratám, odporúčame vám pozorne si prečítať pokyny.
Vaše osobné ID: -
Je to tiež heslo pre prístup k chatu.Stlačením tlačidla OK stiahnete chatovú aplikáciu, kde získate ďalšiu podporu.
POZOR: hxxps://transfer.sh by nemal byť v zozname blokovaných.
Šťastie
[OK]'
