Donut ransomware

La amenaza D0nut Ransomware utiliza un algoritmo criptográfico imposible de descifrar para inutilizar por completo los datos de sus víctimas. Los archivos, como documentos, imágenes, fotos, archivos, bases de datos y muchos otros, se bloquearán de manera efectiva y su restauración sin conocer las claves de descifrado correctas será prácticamente imposible. Los actores de amenazas responsables del D0nut Ransomware están motivados financieramente e intentarán extorsionar a los usuarios u organizaciones que violan con éxito.

Las víctimas de la amenaza notarán que todos los archivos afectados están marcados con '.d0nut' adjunto a sus nombres originales como una nueva extensión de archivo. La amenaza dejará caer tres notas de rescate en los sistemas infectados. Dos de los mensajes que exigen rescate se entregarán como archivos llamados 'd0nut.html', mientras que se mostrará un conjunto diferente de instrucciones en una ventana emergente.

Los dos archivos HTML contienen instrucciones casi idénticas. Aparentemente, los piratas informáticos dan a sus víctimas 96 horas para establecer contacto antes de aumentar el tamaño del rescate que exigirán para la restauración de los datos bloqueados. Además, los piratas informáticos afirman que pueden descifrar de forma gratuita hasta 2 archivos que tengan menos de 2 MB de tamaño total y no contengan información importante. En la nota de rescate se mencionan dos canales de comunicación: usar el cliente de chat Tox o visitar un sitio web dedicado alojado en la red TOR.

Las instrucciones entregadas como archivos HTML son similares a:

'Microsoft Windows [Versión 0.0.31337.0.0]
(c) Corporación Microsoft. Reservados todos los derechos.

C:\Usuarios\Administrador> powershell Get-EventLog Security
C:\Usuarios\Administrador> Error..

No hace mucho tiempo, descubrimos un problema grave con su red y decidimos ayudarlo. ¿Entonces qué pasó?
Todos los archivos están encriptados con Integrated Encryption Scheme.
La estructura del archivo no estaba dañada. Se le ha asignado un identificador único. Después de la infección, tiene 96 horas para declarar el descifrado. Después de la expiración de 96 horas, el costo de descifrado aumentará automáticamente.
Ahora debe enviarnos un mensaje con su identificación personal, que se encuentra en la parte inferior del mensaje. Esperamos que comprenda la importancia del trabajo que hemos realizado, si la vulnerabilidad fue encontrada por otra persona, es posible que las consecuencias de el ataque podría ser mucho más sensible que el pago habitual de dinero que se nos debe por el trabajo.
Antes de pagar, puede enviarnos 2 archivos para descifrarlos de forma gratuita. El tamaño total de los archivos debe ser inferior a 1 Mb (no archivados) y los archivos no deben contener información valiosa (bases de datos, copias de seguridad, excel grandes).
¡Atención! Si desea RECUPERAR SUS DATOS sin problemas, ¡NUNCA reinicie, desconecte los discos duros ni realice ninguna acción a menos que sepa LO QUE ESTÁ HACIENDO!
De lo contrario, no podemos estar 100% seguros de que el descifrador funcionará correctamente.
¡¡¡ESTO ESTÁ ESPECIALMENTE RELACIONADO CON ESXI!!!
Si intenta utilizar cualquier software de terceros para restaurar sus datos o soluciones antivirus, esto puede provocar daños completos en todos los archivos y su pérdida irrecuperable, ya que ya no será posible restaurarlos. Cualquier cambio en los archivos cifrados puede provocar daños en la clave privada y, como resultado, la pérdida de todos los datos.
su identificación personal: F3AA226DACCDA0EF
El nombre de usuario y la contraseña son idénticos a los anteriores. Dado que estamos utilizando el cifrado SSL (https) y .onion, el certificado no está firmado correctamente; de lo contrario, la dirección IP de nuestro servidor sería visible para todos. Entonces, para ingresar al chat, debe confirmar la excepción de conexión insegura. Gracias por entender.
Puede descargar TOX aquí > hxxps://tox.chat/download.html
También puede escribir al chat ubicado en la red TOR en:
hxxps://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.cebolla
Puede descargar el navegador TOR aquí > hxxps://www.torproject.org/download/
nuestro TOX a continuación >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Todo lo mejor y buen humor, espero que leas atentamente este mensaje y ya sepas que hacer XDXD'

La ventana emergente mostraba la siguiente nota de rescate:

¡¡¡ATENCIÓN!!! El sistema está bloqueado.

'Todos los datos ya están encriptados. Para evitar pérdidas, le recomendamos que lea atentamente las instrucciones.

Su identificación personal: -
También es la contraseña para acceder al chat.

Presione el botón Aceptar para descargar la aplicación de chat donde puede obtener más ayuda.

ATENCIÓN: hxxps://transfer.sh no debe estar en una lista de bloqueo.

Suerte
[OK]'