D0nut-Ransomware

Die D0nut Ransomware-Bedrohung verwendet einen unknackbaren kryptografischen Algorithmus, um die Daten ihrer Opfer vollständig unbrauchbar zu machen. Dateien wie Dokumente, Bilder, Fotos, Archive, Datenbanken und viele andere werden effektiv gesperrt, und ihre Wiederherstellung ohne Kenntnis der richtigen Entschlüsselungsschlüssel ist praktisch unmöglich. Die für die D0nut Ransomware verantwortlichen Bedrohungsakteure sind finanziell motiviert und werden versuchen, Geld von den Benutzern oder Organisationen zu erpressen, gegen die sie erfolgreich vorgehen.

Opfer der Bedrohung werden feststellen, dass alle betroffenen Dateien mit „.d0nut“ als neue Dateierweiterung an ihren ursprünglichen Namen angehängt sind. Die Bedrohung hinterlässt drei Lösegeldforderungen auf den infizierten Systemen. Zwei der Lösegeld fordernden Nachrichten werden als Dateien mit dem Namen „d0nut.html“ zugestellt, während andere Anweisungen in einem Popup-Fenster angezeigt werden.

Die beiden HTML-Dateien enthalten nahezu identische Anweisungen. Anscheinend geben die Hacker ihren Opfern 96 Stunden Zeit, um Kontakt aufzunehmen, bevor sie das Lösegeld erhöhen, das sie für die Wiederherstellung der gesperrten Daten verlangen. Darüber hinaus geben die Hacker an, dass sie kostenlos bis zu 2 Dateien entschlüsseln können, die insgesamt weniger als 2 MB groß sind und keine wichtigen Informationen enthalten. In der Lösegeldforderung werden zwei Kommunikationskanäle erwähnt – die Verwendung des Tox-Chat-Clients oder der Besuch einer speziellen Website, die im TOR-Netzwerk gehostet wird.

Die als HTML-Dateien gelieferten Anweisungen ähneln:

'Microsoft Windows [Version 0.0.31337.0.0]
(c) Microsoft Corporation. Alle Rechte vorbehalten.

C:\Benutzer\Administrator> Powershell Get-EventLog-Sicherheit
C:\Benutzer\Administrator> Fehler..

Vor nicht allzu langer Zeit entdeckten wir ein ernstes Problem mit Ihrem Netzwerk und beschlossen, Ihnen zu helfen. Also was ist passiert?
Alle Dateien werden mit Integrated Encryption Scheme verschlüsselt.
Die Dateistruktur wurde nicht beschädigt. Ihnen wurde eine eindeutige Kennung zugewiesen. Nach der Infektion haben Sie 96 Stunden Zeit, um die Entschlüsselung zu erklären. Nach Ablauf von 96 Stunden werden die Entschlüsselungskosten automatisch erhöht.
Jetzt sollten Sie uns eine Nachricht mit Ihrer persönlichen ID senden, die am Ende der Nachricht steht. Wir hoffen, dass Sie die Bedeutung unserer Arbeit verstehen Der Angriff könnte viel sensibler sein als die übliche Zahlung von Geld, das uns für die Arbeit zusteht.
Vor dem Bezahlen können Sie uns 2 Dateien zur kostenlosen Entschlüsselung zusenden. Die Gesamtgröße der Dateien muss weniger als 1 MB betragen (nicht archiviert) und die Dateien sollten keine wertvollen Informationen enthalten (Datenbanken, Backups, große Excel
Aufmerksamkeit! Wenn Sie IHRE DATEN ohne Probleme WIEDERHERSTELLEN möchten - NIEMALS neu starten, Festplatten trennen oder irgendwelche Maßnahmen ergreifen, es sei denn, Sie wissen, WAS SIE TUN!!!
Andernfalls können wir nicht zu 100 % sicher sein, dass der Decryptor korrekt funktioniert.
DAS BEZIEHT SICH SPEZIELL AUF ESXI!!!
Wenn Sie versuchen, eine Software von Drittanbietern zur Wiederherstellung Ihrer Daten oder Antivirenlösungen zu verwenden, kann dies zu einer vollständigen Beschädigung aller Dateien und deren unwiederbringlichem Verlust führen, da eine Wiederherstellung nicht mehr möglich ist. Jegliche Änderungen an verschlüsselten Dateien können eine Beschädigung des privaten Schlüssels und damit den Verlust aller Daten zur Folge haben.
Ihre persönliche ID: F3AA226DACCDA0EF
Benutzername und Passwort sind identisch mit oben. Da wir sowohl SSL(https)-Verschlüsselung als auch .onion verwenden, ist das Zertifikat nicht richtig signiert, da sonst unsere Server-IP-Adresse für jeden sichtbar wäre. Um also in den Chat zu gelangen, müssen Sie die Ausnahme der unsicheren Verbindung bestätigen. Danke für dein Verständnis.
Sie können TOX hier herunterladen > hxxps://tox.chat/download.html
Sie können auch an den Chat im TOR-Netzwerk schreiben unter:
hxxps://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
Sie können den TOR-Browser hier herunterladen > hxxps://www.torproject.org/download/
unser TOX unten >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Alles Gute und gute Laune, ich hoffe, Sie lesen diese Nachricht sorgfältig und wissen bereits, was zu tun ist XDXD'

Das Pop-up-Fenster zeigte die folgende Lösegeldforderung:

AUFMERKSAMKEIT!!! Das System ist gesperrt.

'Alle Daten sind bereits verschlüsselt. Um Verluste zu vermeiden, empfehlen wir Ihnen, die Anleitung sorgfältig zu lesen.

Ihr Personalausweis: -
Es ist auch das Passwort für den Zugriff auf den Chat.

Drücken Sie die OK-Taste, um die Chat-App herunterzuladen, in der Sie weitere Unterstützung erhalten.

ACHTUNG: hxxps://transfer.sh sollte nicht in einer Sperrliste stehen.

Glück
[OK]'