Phần mềm tống tiền D0nut
Mối đe dọa Ransomware D0nut sử dụng thuật toán mã hóa không thể bẻ khóa để khiến dữ liệu của nạn nhân hoàn toàn không sử dụng được. Các tệp, chẳng hạn như tài liệu, hình ảnh, ảnh, tệp lưu trữ, cơ sở dữ liệu và nhiều tệp khác sẽ bị khóa một cách hiệu quả và việc khôi phục chúng mà không biết khóa giải mã chính xác sẽ thực tế là không thể. Các tác nhân đe dọa chịu trách nhiệm về Phần mềm tống tiền D0nut có động cơ tài chính và sẽ cố gắng moi tiền từ người dùng hoặc tổ chức mà chúng vi phạm thành công.
Nạn nhân của mối đe dọa sẽ nhận thấy rằng tất cả các tệp bị ảnh hưởng đều được đánh dấu bằng cách gắn '.d0nut' vào tên ban đầu của chúng dưới dạng phần mở rộng tệp mới. Mối đe dọa sẽ thả ba ghi chú đòi tiền chuộc trên các hệ thống bị nhiễm. Hai trong số các tin nhắn đòi tiền chuộc sẽ được gửi dưới dạng tệp có tên 'd0nut.html', trong khi một bộ hướng dẫn khác sẽ được hiển thị trong cửa sổ bật lên.
Hai tệp HTML chứa các hướng dẫn gần như giống hệt nhau. Rõ ràng, tin tặc cho nạn nhân của họ 96 giờ để thiết lập liên lạc trước khi tăng quy mô tiền chuộc mà họ sẽ yêu cầu để khôi phục dữ liệu bị khóa. Ngoài ra, tin tặc tuyên bố rằng họ có thể giải mã miễn phí tối đa 2 tệp có tổng kích thước dưới 2MB và không chứa thông tin quan trọng. Hai kênh liên lạc được đề cập trong ghi chú đòi tiền chuộc - sử dụng ứng dụng trò chuyện Tox hoặc truy cập trang web chuyên dụng được lưu trữ trên mạng TOR.
Các hướng dẫn được gửi dưới dạng tệp HTML tương tự như:
'Microsoft Windows [Phiên bản 0.0.31337.0.0]
(c) Tập đoàn Microsoft. Đã đăng ký Bản quyền.C:\Users\Administrator> PowerShell Get-EventLog Security
C:\Users\Administrator> Lỗi..Cách đây không lâu, chúng tôi đã phát hiện ra một vấn đề nghiêm trọng với mạng của bạn và quyết định giúp bạn. Vậy chuyện gì đã xảy ra?
Tất cả các tệp được mã hóa bằng Lược đồ mã hóa tích hợp.
Cấu trúc tệp không bị hỏng. Bạn đã được chỉ định một mã định danh duy nhất. Sau khi lây nhiễm, bạn có 96 giờ để tuyên bố giải mã. Sau 96 giờ, chi phí giải mã sẽ tự động tăng lên.
Bây giờ bạn nên gửi tin nhắn cho chúng tôi bằng ID cá nhân của bạn ở cuối tin nhắn. Chúng tôi hy vọng rằng bạn hiểu tầm quan trọng của công việc chúng tôi đã thực hiện, nếu lỗ hổng được tìm thấy bởi người khác, có thể là hậu quả của cuộc tấn công có thể nhạy cảm hơn nhiều so với việc trả tiền thông thường do chúng tôi làm việc.
Trước khi thanh toán, bạn có thể gửi cho chúng tôi 2 tệp để giải mã miễn phí. Tổng kích thước của tệp phải nhỏ hơn 1Mb (không được lưu trữ) và tệp không được chứa thông tin có giá trị (cơ sở dữ liệu, bản sao lưu, excel lớn
Chú ý! Nếu bạn muốn PHỤC HỒI DỮ LIỆU CỦA MÌNH mà không gặp sự cố - KHÔNG BAO GIỜ khởi động lại, ngắt kết nối ổ cứng hoặc thực hiện bất kỳ hành động nào trừ khi bạn biết MÌNH ĐANG LÀM GÌ!!!
Mặt khác, chúng tôi không thể chắc chắn 100% rằng bộ giải mã sẽ hoạt động chính xác.
ĐIỀU NÀY CÓ LIÊN QUAN ĐẶC BIỆT ĐẾN ESXI!!!
Nếu bạn cố gắng sử dụng bất kỳ phần mềm bên thứ ba nào để khôi phục dữ liệu hoặc giải pháp chống vi-rút của mình - điều này có thể dẫn đến làm hỏng hoàn toàn tất cả các tệp và mất mát không thể khôi phục được vì sẽ không thể khôi phục chúng được nữa. Bất kỳ thay đổi nào trong các tệp được mã hóa có thể làm hỏng khóa riêng tư và do đó, mất tất cả dữ liệu.
id cá nhân của bạn: F3AA226DACCDA0EF
Tên người dùng và mật khẩu giống hệt như trên. Vì chúng tôi đang sử dụng mã hóa SSL(https) cũng như .onion nên chứng chỉ không được ký đúng cách, nếu không địa chỉ IP máy chủ của chúng tôi sẽ hiển thị với mọi người. Vì vậy, để tham gia trò chuyện, bạn cần xác nhận ngoại lệ kết nối không an toàn. Cảm ơn bạn đa hiểu.
Bạn có thể tải xuống TOX tại đây > hxxps://tox.chat/download.html
Bạn cũng có thể viết thư cho cuộc trò chuyện nằm trong mạng TOR tại:
hxxps://qkbbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
Bạn có thể tải xuống trình duyệt TOR tại đây > hxxps://www.torproject.org/download/
TOX của chúng tôi bên dưới >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Tất cả những điều tốt đẹp nhất và tâm trạng tốt, tôi hy vọng bạn đã đọc kỹ tin nhắn này và đã biết phải làm gì XDXD'
Cửa sổ bật lên hiển thị ghi chú đòi tiền chuộc sau:
CHÚ Ý!!! Hệ thống đã bị khóa.
'Tất cả dữ liệu đã được mã hóa. Để tránh thua lỗ, chúng tôi khuyên bạn nên đọc kỹ hướng dẫn.
ID cá nhân của bạn: -
Nó cũng là mật khẩu để truy cập vào cuộc trò chuyện.Nhấn nút OK để tải xuống ứng dụng trò chuyện nơi bạn có thể nhận thêm hỗ trợ.
CHÚ Ý: hxxps://transfer.sh không được nằm trong danh sách chặn.
may mắn
[ĐƯỢC RỒI]'
