D0nut Ransomware
Grožnja izsiljevalske programske opreme D0nut uporablja kriptografski algoritem, ki ga ni mogoče zlomiti, da naredi podatke svojih žrtev popolnoma neuporabne. Datoteke, kot so dokumenti, slike, fotografije, arhivi, baze podatkov in številne druge, bodo dejansko zaklenjene, njihova obnovitev brez poznavanja pravilnih ključev za dešifriranje pa bo praktično nemogoča. Akterji groženj, ki so odgovorni za izsiljevalsko programsko opremo D0nut, so finančno motivirani in bodo poskušali izsiliti denar od uporabnikov ali organizacij, ki jim uspešno vdrejo.
Žrtve grožnje bodo opazile, da so vse prizadete datoteke označene tako, da imajo izvirna imena kot novo datotečno pripono pripeto ».d0nut«. Grožnja bo na okužene sisteme vrgla tri obvestila o odkupnini. Dve sporočili z zahtevo po odkupnini bosta dostavljeni kot datoteki z imenom 'd0nut.html', medtem ko bo v pojavnem oknu prikazan drug niz navodil.
Datoteki HTML vsebujeta skoraj enaka navodila. Očitno imajo hekerji svojim žrtvam 96 ur, da vzpostavijo stik, preden povečajo odkupnino, ki jo bodo zahtevali za obnovitev zaklenjenih podatkov. Poleg tega hekerji navajajo, da lahko brezplačno dešifrirajo do 2 datoteki, ki sta manjši od 2 MB skupne velikosti in ne vsebujeta pomembnih informacij. V obvestilu o odkupnini sta omenjena dva komunikacijska kanala – uporaba klepetalnega odjemalca Tox ali obisk posebnega spletnega mesta, ki gostuje v omrežju TOR.
Navodila, dostavljena kot datoteke HTML, so podobna:
'Microsoft Windows [Različica 0.0.31337.0.0]
(c) Microsoft Corporation. Vse pravice pridržane.C:\Uporabniki\Administrator> powershell Get-EventLog Security
C:\Users\Administrator> Napaka..Ne tako dolgo nazaj smo odkrili resno težavo z vašim omrežjem in se odločili, da vam pomagamo. Torej kaj se je zgodilo?
Vse datoteke so šifrirane z integrirano šifrirno shemo.
Struktura datoteke ni bila poškodovana. Dodeljen vam je edinstven identifikator. Po okužbi imate 96 ur, da prijavite dešifriranje. Po preteku 96 ur se stroški dešifriranja samodejno povečajo.
Zdaj nam pošljite sporočilo s svojo osebno izkaznico, ki je na dnu sporočila. Upamo, da razumete pomembnost dela, ki smo ga opravili, če je ranljivost našel nekdo drug, je možno, da so posledice napad bi lahko bil veliko bolj občutljiv kot običajno plačilo denarja, ki nam pripada za delo.
Pred plačilom nam lahko pošljete 2 datoteki za brezplačno dešifriranje. Skupna velikost datotek mora biti manjša od 1Mb (nearhivirane), datoteke pa ne smejo vsebovati dragocenih informacij (baze podatkov, varnostne kopije, velik excel).
Pozor! Če želite brez težav OBNOVITI SVOJE PODATKE - NIKOLI ne zaženite ponovnega zagona, ne odklopite trdih diskov ali ne ukrepajte, razen če veste, KAJ DELATE!!!
V nasprotnem primeru ne moremo biti 100 % prepričani, da bo dešifrer deloval pravilno.
TO JE POSEBEJ POVEZANO Z ESXI!!!
Če boste poskušali uporabiti katero koli programsko opremo tretje osebe za obnovitev vaših podatkov ali protivirusne rešitve - to lahko povzroči popolno škodo na vseh datotekah in njihovo nepopravljivo izgubo, saj jih ne bo več mogoče obnoviti. Kakršne koli spremembe v šifriranih datotekah lahko povzročijo poškodbo zasebnega ključa in posledično izgubo vseh podatkov.
vaš osebni ID: F3AA226DACCDA0EF
Uporabniško ime in geslo sta enaka zgornjima. Ker uporabljamo šifriranje SSL(https) in .onion, potrdilo ni pravilno podpisano, sicer bi bil naslov IP našega strežnika viden vsem. Če želite torej vstopiti v klepet, morate potrditi izjemo nevarne povezave. Hvala za razumevanje.
TOX lahko prenesete tukaj > hxxps://tox.chat/download.html
Prav tako lahko pišete v klepet, ki se nahaja v omrežju TOR na:
hxxps://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
Brskalnik TOR lahko prenesete tukaj > hxxps://www.torproject.org/download/
naš TOX spodaj >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Vse najboljše in dobre volje, upam, da ste pozorno prebrali to sporočilo in že veste, kaj storiti XDXD'
V pojavnem oknu je bilo prikazano naslednje obvestilo o odkupnini:
POZOR!!! Sistem je zaklenjen.
'Vsi podatki so že šifrirani. Da bi se izognili izgubam, priporočamo, da natančno preberete navodila.
Vaša osebna izkaznica: -
To je tudi geslo za dostop do klepeta.Pritisnite gumb V redu, da prenesete aplikacijo za klepet, kjer lahko dobite več podpore.
POZOR: hxxps://transfer.sh ne sme biti na seznamu blokiranih.
sreča
[V REDU]'
