D0nut Ransomware

D0nut Ransomware-hotet använder en oknäckbar kryptografisk algoritm för att göra data från sina offer helt oanvändbara. Filer, såsom dokument, bilder, foton, arkiv, databaser och många andra kommer effektivt att låsas, och deras återställning utan att känna till de korrekta dekrypteringsnycklarna kommer att vara praktiskt taget omöjligt. Hotaktörerna som ansvarar för D0nut Ransomware är ekonomiskt motiverade och kommer att försöka pressa pengar från de användare eller organisationer som de bryter mot framgångsrikt.

Offren för hotet kommer att märka att alla drabbade filer är markerade med '.d0nut' kopplade till sina ursprungliga namn som ett nytt filtillägg. Hotet kommer att släppa tre lösensedlar på de infekterade systemen. Två av de lösenkrävande meddelandena kommer att levereras som filer med namnet 'd0nut.html', medan en annan uppsättning instruktioner kommer att visas i ett popup-fönster.

De två HTML-filerna innehåller nästan identiska instruktioner. Tydligen ger hackarna sina offer 96 timmar på sig att etablera kontakt innan de ökar storleken på lösensumman som de kommer att kräva för att återställa den låsta datan. Dessutom uppger hackarna att de får dekryptera gratis upp till 2 filer som är mindre än 2MB i total storlek och inte innehåller viktig information. Två kommunikationskanaler nämns i lösennotan - att använda Tox-chattklienten eller besöka en dedikerad webbplats som finns på TOR-nätverket.

Instruktionerna som levereras som HTML-filer liknar:

'Microsoft Windows [Version 0.0.31337.0.0]
(c) Microsoft Corporation. Alla rättigheter förbehållna.

C:\Users\Administrator> powershell Get-EventLog Security
C:\Users\Administrator> Fel..

För inte så länge sedan upptäckte vi ett allvarligt problem med ditt nätverk och bestämde oss för att hjälpa dig. Så vad hände?
Alla filer är krypterade med Integrated Encryption Scheme.
Filstrukturen var inte skadad. Du har tilldelats en unik identifierare. Efter infektion har du 96 timmar på dig att deklarera dekryptering. Efter utgången av 96 timmar kommer dekrypteringskostnaden att öka automatiskt.
Nu ska du skicka ett meddelande till oss med ditt personliga ID, som finns längst ner i meddelandet. Vi hoppas att du förstår vikten av det arbete vi har utfört, om sårbarheten hittades av någon annan är det möjligt att konsekvenserna av attacken kan vara mycket känsligare än den vanliga betalningen av pengar som vi får för arbete.
Innan du betalar kan du skicka oss 2 filer för gratis dekryptering. Den totala storleken på filer måste vara mindre än 1 Mb (ej arkiverade) och filer bör inte innehålla värdefull information (databaser, säkerhetskopior, stora Excel
Uppmärksamhet! Om du vill ÅTERSTÄLLA DIN DATA utan problem – starta ALDRIG om, koppla ur hårddiskar eller vidta någon åtgärd om du inte vet VAD DU GÖR!!!
Annars kan vi inte vara 100% säkra på att dekrypteringen kommer att fungera korrekt.
DETTA ÄR SÄRSKILT RELATERAT TILL ESXI!!!
Om du försöker använda någon programvara från tredje part för att återställa dina data eller antiviruslösningar - kan detta leda till fullständig skada på alla filer och deras oåterkalleliga förlust, eftersom det inte längre kommer att vara möjligt att återställa dem. Alla ändringar i krypterade filer kan medföra skada på den privata nyckeln och, som ett resultat, förlust av all data.
ditt personliga ID: F3AA226DACCDA0EF
Användarnamn och lösenord är identiska med ovan. Eftersom vi använder SSL(https)-kryptering såväl som .onion, är certifikatet inte korrekt signerat, annars skulle vår server-IP-adress vara synlig för alla. Så för att komma in i chatten måste du bekräfta undantaget för osäker anslutning. Tack för att du förstår.
Du kan ladda ner TOX här > hxxps://tox.chat/download.html
Du kan också skriva till chatten som finns i TOR-nätverket på:
hxxps://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
Du kan ladda ner TOR-webbläsaren här > hxxps://www.torproject.org/download/
vårt TOX nedan >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Allt gott och gott humör, jag hoppas att du läser detta meddelande noggrant och redan vet vad du ska göra XDXD'

Popup-fönstret visade följande lösensumma:

UPPMÄRKSAMHET!!! Systemet är låst.

'All data är redan krypterad. För att undvika förluster rekommenderar vi att du läser instruktionerna noggrant.

Ditt personliga ID: -
Det är också lösenordet för att komma åt chatten.

Tryck på OK-knappen för att ladda ner chattappen där du kan få mer support.

OBSERVERA: hxxps://transfer.sh bör inte finnas i en blockeringslista.

Tur
[OK]'