D0nut Ransomware

La menace D0nut Ransomware utilise un algorithme cryptographique inviolable pour rendre les données de ses victimes complètement inutilisables. Les fichiers, tels que les documents, les images, les photos, les archives, les bases de données et bien d'autres seront effectivement verrouillés, et leur restauration sans connaître les bonnes clés de déchiffrement sera pratiquement impossible. Les acteurs de la menace responsables du D0nut Ransomware sont motivés financièrement et essaieront d'extorquer de l'argent aux utilisateurs ou aux organisations qu'ils ont réussi à violer.

Les victimes de la menace remarqueront que tous les fichiers concernés sont marqués en ayant ".d0nut" attaché à leur nom d'origine en tant que nouvelle extension de fichier. La menace déposera trois notes de rançon sur les systèmes infectés. Deux des messages demandant une rançon seront livrés sous forme de fichiers nommés "d0nut.html", tandis qu'un ensemble différent d'instructions sera affiché dans une fenêtre contextuelle.

Les deux fichiers HTML contiennent des instructions presque identiques. Apparemment, les pirates donnent 96 heures à leurs victimes pour établir le contact avant d'augmenter le montant de la rançon qu'ils exigeront pour la restauration des données verrouillées. De plus, les pirates déclarent qu'ils peuvent décrypter gratuitement jusqu'à 2 fichiers d'une taille totale inférieure à 2 Mo et ne contenant pas d'informations importantes. Deux canaux de communication sont mentionnés dans la note de rançon - en utilisant le client de chat Tox ou en visitant un site Web dédié hébergé sur le réseau TOR.

Les instructions fournies sous forme de fichiers HTML ressemblent à :

'Microsoft Windows [Version 0.0.31337.0.0]
(c) Microsoft Corporation. Tous les droits sont réservés.

C:\Users\Administrator> powershell Get-EventLog Security
C:\Utilisateurs\Administrateur> Erreur..

Il n'y a pas si longtemps, nous avons découvert un sérieux problème avec votre réseau et avons décidé de vous aider. Alors, qu'est-ce-qu'il s'est passé?
Tous les fichiers sont cryptés avec le schéma de cryptage intégré.
La structure du fichier n'a pas été endommagée. Un identifiant unique vous a été attribué. Après infection, vous avez 96 heures pour déclarer le décryptage. Après l'expiration de 96 heures, le coût de décryptage sera automatiquement augmenté.
Maintenant, vous devez nous envoyer un message avec votre identifiant personnel, qui se trouve au bas du message. Nous espérons que vous comprenez l'importance du travail que nous avons fait, si la vulnérabilité a été découverte par quelqu'un d'autre, il est possible que les conséquences de l'attaque pourrait être beaucoup plus sensible que le paiement habituel de l'argent qui nous est dû pour le travail.
Avant de payer, vous pouvez nous envoyer 2 fichiers pour un décryptage gratuit. La taille totale des fichiers doit être inférieure à 1 Mo (non archivés) et les fichiers ne doivent pas contenir d'informations précieuses (bases de données, sauvegardes, fichiers Excel volumineux
Attention! Si vous souhaitez RÉCUPÉRER VOS DONNÉES sans problème - NE JAMAIS redémarrer, déconnecter les disques durs ou prendre des mesures à moins que vous ne sachiez CE QUE VOUS FAITES !!!
Sinon, nous ne pouvons pas être sûrs à 100% que le décrypteur fonctionnera correctement.
CECI EST PARTICULIÈREMENT LIÉ À ESXI !!!
Si vous essayez d'utiliser un logiciel tiers pour restaurer vos données ou des solutions antivirus, cela peut entraîner des dommages complets à tous les fichiers et leur perte irrécupérable, car il ne sera plus possible de les restaurer. Toute modification des fichiers cryptés peut entraîner des dommages à la clé privée et, par conséquent, la perte de toutes les données.
votre identifiant personnel : F3AA226DACCDA0EF
Le nom d'utilisateur et le mot de passe sont identiques à ci-dessus. Étant donné que nous utilisons le cryptage SSL (https) ainsi que .onion, le certificat n'est pas correctement signé, sinon l'adresse IP de notre serveur serait visible par tout le monde. Donc, pour entrer dans le chat, vous devez confirmer l'exception de connexion non sécurisée. Merci de votre compréhension.
Vous pouvez télécharger TOX ici > hxxps://tox.chat/download.html
Vous pouvez également écrire au chat situé dans le réseau TOR à :
hxxps://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
Vous pouvez télécharger le navigateur TOR ici > hxxps://www.torproject.org/download/
notre TOX ci-dessous > 🙂
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Bien à vous et bonne humeur, j'espère que vous avez lu attentivement ce message et que vous savez déjà quoi faire XDXD'

La fenêtre contextuelle affichait la note de rançon suivante :

ATTENTION!!! Le système est verrouillé.

'Toutes les données sont déjà cryptées. Afin d'éviter les pertes, nous vous recommandons de lire attentivement les instructions.

Votre identifiant personnel : -
C'est aussi le mot de passe pour accéder au chat.

Appuyez sur le bouton OK pour télécharger l'application de chat où vous pouvez obtenir plus d'assistance.

ATTENTION : hxxps://transfer.sh ne doit pas figurer dans une liste de blocage.

Chance
[D'ACCORD]'