Donut Ransomware
Donut Bootkit-Ransomware
Donut Leaks Extortion Group
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.36831
BitDefender -> Trojan.GenericKD.62178978
ESET-NOD32 -> A Variant Of Win64/Kryptik.DPR
Kaspersky -> Trojan-Ransom.Win64.Donut.a
Malwarebytes -> Ransom.Donut
Microsoft -> Trojan:Win32/Casdet!rfn
Rising -> Ransom.Donut!8.16A5D (CLOUD)
Tencent -> Win64.Trojan.Donut.Ekjl
TrendMicro -> Ransom.Win64.DONUT.THKBEBB
---
© Генеалогия: родство выясняется >> Donut
Сайт "ID Ransomware" Donut пока не идентифицирует.
Информация для идентификации
Активность группы вымогателей Donut Leaks была замечена в августе 2022 года. Они специализировались на взломе корпоративных сетей для кражи данных. Украденные данные вымогатели выкладывали на своем сайте D0N#T__::LEAKS::, чтобы показывать их посетителям, которые могли просматривать часть данных и загружать полные документы за плату. Есть информация о десяти пострадавших компаниях и о том, что злоумышленники, управляющие Donut Leaks, являются пен-тестерами или аффилированным лицом Hive и Ragnar Locker и некоторых других неназванных. Таким образом, украденные данные попадают в руки нескольких групп вымогателей, у которых есть собственные методы вымогательства денег у пострадавших. Это также показывает, что уплата выкупа может не только не предотвратить утечку данных, но и привести к новым требованиям вымогателей.
Пример-скриншот с сайта вымогателей
Использование в их атаках крипто-вымогателя, судя по образцу, началось в сентябре 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .d0nut
Записка с требованием выкупа называется: d0nut.html
Содержание записки о выкупе:
Перевод записки на русский язык:
Записка с требованием выкупа называется: d0nut.html
Содержание записки о выкупе:
SO WHAT HAPPENED?
ALL FILES ARE ENCRYPTED WITH INTEGRATED ENCRYPTION SCHEME.
THE FILE STRUCTURE WAS NOT DAMAGED. YOU HAVE BEEN ASSIGNED A UNIQUE IDENTIFIER.
AFTER INFECTION, YOU HAVE 96 HOURS TO DECLARE DECRYPTION.
AFTER THE EXPIRATION OF 96 HOURS, DECRYPTION COST WILL BE AUTOMATICALLY INCREASED.
NOW YOU SHOULD SEND US MESSAGE WITH YOUR PERSONAL ID, WHICH IS AT THE BOTTOM OF THE MESSAGE.
WE HOPE THAT YOU UNDERSTAND THE IMPORTANCE OF THE WORK WE HAVE DONE.
BEFORE PAYING YOU CAN SEND US 2 FILES FOR FREE DECRYPTION.
THE TOTAL SIZE OF FILES MUST BE LESS THAN 2MB.
FILES SHOULD NOT CONTAIN VALUABLE INFORMATION (DATABASES, BACKUPS, LARGE EXCEL SHEETS, ETC..).
ATTENTION! IF YOU WANT TO RECOVER YOUR DATA WITHOUT PROBLEMS - NEVER!!! :
REBOOT, DISCONNECT HARD DRIVES OR TAKE ANY ACTION UNLESS YOU KNOW WHAT YOU ARE DOING!!!
OTHERWISE, WE CANNOT BE 100% SURE THAT THE DECRYPTOR WILL WORK CORRECTLY.
!!!THIS IS ESPECIALLY RELATED TO ESXI!!!
IF YOU WILL TRY TO USE ANY THIRD PARTY SOFTWARE FOR RESTORING YOUR DATA OR ANTIVIRUS SOLUTIONS:
THIS CAN LEAD TO COMPLETE DAMAGE TO ALL FILES AND THEIR IRRECOVERABLE LOSS.
ANY CHANGES IN ENCRYPTED FILES MAY ENTAIL DAMAGE OF THE PRIVATE KEY AND THE LOSS OF ALL DATA.
YOUR PERSONAL ID:
USERNAME AND PASSWORD ARE IDENTICAL TO ABOVE.
SINCE WE ARE USING SSL ENCRYPTION AS WELL AS .ONION, THE CERTIFICATE IS NOT PROPERLY SIGNED.
SO IN ORDER TO GET INTO THE CHAT, YOU NEED TO CONFIRM THE INSECURE CONNECTION EXCEPTION.
OR DUST USE OUR EMBEDED APP (WINDOWS VERSION ONLY FOR NOW). THANK YOU FOR UNDERSTANDING.
YOU CAN DOWNLOAD TOX HERE:
HTTPS://TOX.CHAT/DOWNLOAD.HTML
YOU CAN ALSO WRITE TO THE CHAT LOCATED IN TOR NETWORK AT:
HTTPS://QKBBAXIUQQCQB5NOX4NP4QDCNIY2Q6M7YELUV37N5I5DN7PGPCWXWFID.ONION
YOU CAN DOWNLOAD TOR BROWSER HERE:
HTTPS://WWW.TORPRODECT.ORG/DOWNLOAD/
OUR TOX BELOW:
D3404141459BC7286CC4AFEC16A3463F262CO937A732C12644E7CA97F0615201A519F7EAB2E2
WE HOPE YOU CAREFULLY READ THIS MESSAGE AND ALREADY KNOW WHAT TO DO.
Перевод записки на русский язык:
ЧТО ЖЕ СЛУЧИЛОСЬ?
ВСЕ ФАЙЛЫ ЗАШИФРОВАНЫ С ПОМОЩЬЮ ВСТРОЕННОЙ СХЕМЫ ШИФРОВАНИЯ.
СТРУКТУРА ФАЙЛА НЕ ПОВРЕЖДЕНА. ВАМ ПРИСВОЕН УНИКАЛЬНЫЙ ИДЕНТИФИКАТОР.
ПОСЛЕ ЗАРАЖЕНИЯ У ВАС ЕСТЬ 96 ЧАСОВ, ЧТОБЫ ЗАЯВИТЬ О РАСШИФРОВКЕ.
ПО ИСТЕЧЕНИИ 96 ЧАСОВ СТОИМОСТЬ РАСШИФРОВКИ БУДЕТ АВТОМАТИЧЕСКИ УВЕЛИЧЕНА.
ТЕПЕРЬ ВЫ ДОЛЖНЫ ОТПРАВИТЬ НАМ СООБЩЕНИЕ С ВАШИМ ЛИЧНЫМ ID, КОТОРЫЙ НАХОДИТСЯ ВНИЗУ СООБЩЕНИЯ.
НАДЕЕМСЯ, ЧТО ВЫ ПОНИМАЕТЕ ВАЖНОСТЬ ПРОДЕЛАННОЙ НАМИ РАБОТЫ.
ПЕРЕД ОПЛАТОЙ ВЫ МОЖЕТЕ ОТПРАВИТЬ НАМ 2 ФАЙЛА ДЛЯ БЕСПЛАТНОЙ РАСШИФРОВКИ.
ОБЩИЙ РАЗМЕР ФАЙЛОВ ДОЛЖЕН БЫТЬ МЕНЕЕ 2 МБ.
ФАЙЛЫ НЕ ДОЛЖНЫ СОДЕРЖАТЬ ЦЕННУЮ ИНФОРМАЦИЮ (БАЗЫ ДАННЫХ, РЕЗЕРВНЫЕ КОПИИ, БОЛЬШИЕ ТАБЛИЦЫ EXCEL И Т.Д.).
ВНИМАНИЕ! ЕСЛИ ХОЧЕШЬ ВОССТАНОВИТЬ СВОИ ДАННЫЕ БЕЗ ПРОБЛЕМ - НИКОГДА!!! :
НЕ ПЕРЕЗАГРУЖАЙТЕСЬ, НЕ ОТКЛЮЧАЙТЕ ЖЕСТКИЕ ДИСКИ ИЛИ НЕ ВЫПОЛНЯЙТЕ ЛЮБЫЕ ДЕЙСТВИЯ, ЕСЛИ ВЫ НЕ ПОНИМАЕТЕ, ЧТО ДЕЛАЕТЕ!!!
ИНАЧЕ МЫ НЕ МОЖЕМ БЫТЬ НА 100% УВЕРЕНЫ, ЧТО ДЕКРИПТОР БУДЕТ РАБОТАТЬ ПРАВИЛЬНО.
!!!ЭТО ОСОБЕННО ОТНОСИТСЯ К ESXI!!!
ЕСЛИ ВЫ ПОПЫТАЕТЕСЬ ИСПОЛЬЗОВАТЬ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ТРЕТЬИХ ЛИЦ ДЛЯ ВОССТАНОВЛЕНИЯ ВАШИХ ДАННЫХ ИЛИ АНТИВИРУСНЫХ РЕШЕНИЙ:
ЭТО МОЖЕТ ПРИВЕСТИ К ПОЛНОМУ ПОВРЕЖДЕНИЮ ВСЕХ ФАЙЛОВ И ИХ БЕЗВОЗВРАТНОЙ ПОТЕРИ.
ЛЮБЫЕ ИЗМЕНЕНИЯ В ЗАШИФРОВАННЫХ ФАЙЛАХ МОГУТ ПРИВЕСТИ К ПОВРЕЖДЕНИЮ ЗАКРЫТОГО КЛЮЧА И ПОТЕРИ ВСЕХ ДАННЫХ.
ВАШ ЛИЧНЫЙ ID:
ИМЯ ПОЛЬЗОВАТЕЛЯ И ПАРОЛЬ ИДЕНТИЧНЫ УКАЗАННЫМ ВЫШЕ.
ПОСКОЛЬКУ МЫ ИСПОЛЬЗУЕМ SSL-ШИФРОВАНИЕ, А ТАКЖЕ .ONION, СЕРТИФИКАТ НЕ ПОДПИСАН ДОЛЖНЫМ ОБРАЗОМ.
ПОЭТОМУ, ЧТОБЫ ПОПАДАТЬ В ЧАТ, ВАМ НУЖНО ПОДТВЕРДИТЬ ИСКЛЮЧЕНИЕ НЕЗАЩИЩЕННОГО СОЕДИНЕНИЯ.
ИЛИ ИСПОЛЬЗУЙТЕ НАШЕ ВСТРОЕННОЕ ПРИЛОЖЕНИЕ (ПОКА ТОЛЬКО ВЕРСИЯ ДЛЯ WINDOWS). СПАСИБО ЗА ПОНИМАНИЕ.
ВЫ МОЖЕТЕ СКАЧАТЬ TOX ЗДЕСЬ:
HTTPS://TOX.CHAT/DOWNLOAD.HTMLВЫ ТАКЖЕ МОЖЕТЕ НАПИСАТЬ В ЧАТ, РАСПОЛОЖЕННЫЙ В СЕТИ TOR ПО АДРЕСУ:
HTTPS://QKBBAXIUQQCQB5NOX4NP4QDCNIY2Q6M7YELUV37N5I5DN7PGPCWXWFID.ONION
ВЫ МОЖЕТЕ СКАЧАТЬ TOR БРАУЗЕР ЗДЕСЬ:
HTTPS://WWW.TORPRODECT.ORG/DOWNLOAD/
НАШ TOX НИЖЕ:
D3404141459BC7286CC4AFEC16A3463F262CO937A732C12644E7CA97F0615201A519F7EAB2E2
НАДЕЕМСЯ, ВЫ ВНИМАТЕЛЬНО ПРОЧИТАЛИ ЭТО СООБЩЕНИЕ И УЖЕ ЗНАЕТЕ, ЧТО ДЕЛАТЬ.
Записка с требованием выкупа также будет написана на экране после включения компьютера.
Содержание записки о выкупе:
Перевод записки на русский язык:
Not so long ago, we discovered a serious problem with your network and decided to help you. So whet happened?
All files are encrypted with Integrated Encryption Scheme.
The file structure was not damaged. You have been assigned a unique identifier. After infection, you have 96 hours to declare decryption. After the expiration of 96 hours, decryption cost will be automatically increased.
Now you should send us message with your personal ID, which is at the bottom of the message. We hope that you understand the importance of the work we have done, if the vulnerability were found by someone else, it is possible that the consequences of the attack could be much more sensitive than the usual payment of money due to us for work.
Before paying you can send us 2 files for free decryption.
The total size of files must be less than 1Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc..).
Attention! If you went to RECOVER YOUR DATA without problems - NEVER reboot,
disconnect hard drives or take any action unless you know WHAT YOU ARE DOING!!!
Otherwise, we cannot be 100% sure that the decryptor will work correctly.
>>>>>>>>>>>>>>>>>>>>> THIS IS ESPECIALLY RELATED TO ESXI!!! <<<<<<<<<<<<<<<<<<<<<<<
If you will try to use any third party software for restoring your data or antivirus solutions - this can lead to complete damage to all files and their irrecoverable loss, since it will no longer be possible to restore them. Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.
>>>>>>>>>>>>>>>>>>>>>>>>>> your personal id: F3AA226DACCDA0EF <<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Username and password are identical to above. Since we are using SSL(https) encryption as well as .onion, the certificate is not properly signed, otherwise our server IP address would be visible to everyone. So in order to get into the chat, you need to confirm the insecure connection exception. Thank you for understanding.
You can download TOX here > https://tox.chat/download.html
You can also write to the chat located in TOR network at:
hxxxs://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
You can download TOR browser here > https://www.torproject.org/download/
:: our TOX below >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
All the best and good mood, I hope you carefully read this message and already know what to do XDXD
Перевод записки на русский язык:
Недавно мы обнаружили серьезную проблему с вашей сетью и решили вам помочь. Так что же случилось?
Все файлы зашифрованы с помощью встроенной схемы шифрования.
Файловая структура не повреждена. Вам присвоен уникальный идентификатор. После заражения у вас есть 96 часов, чтобы заявить о расшифровке. После 96 часов стоимость расшифровки будет автоматически увеличена.
Теперь вы должны отправить нам сообщение с вашим личным идентификатором, который находится внизу сообщения. Мы надеемся, что вы понимаете важность проделанной нами работы, если бы уязвимость была обнаружена кем-то другим, не исключено, что последствия атаки могли стать более чувствительными, чем обычная выплата причитающихся нам денег за работу.
Перед оплатой вы можете отправить нам 2 файла для бесплатной расшифровки.
Общий размер файлов должен быть менее 1 Мб (не в архиве), а файлы не должны содержать ценной информации (базы данных, резервные копии, большие листы Excel и т. д.).
Внимание! Если вы без проблем зашли на ВОССТАНОВЛЕНИЕ ДАННЫХ - НИКОГДА не перезагружайтесь, не отключайте жесткие диски или не предпринимайте никакие действия, если вы не знаете, ЧТО ДЕЛАЕТЕ!!!
В противном случае мы не можем быть на 100% уверены, что расшифровщик будет работать корректно.
>>>>>>>>>>>>>>>>>>>>> ЭТО ОСОБЕННО ОТНОСИТСЯ К ESXI!!! <<<<<<<<<<<<<<<<<<<<<<<<<
Если вы попытаетесь использовать для восстановления своих данных какой-либо сторонний софт или антивирусные решения - это может привести к полной порче всех файлов и их безвозвратной потере, так как восстановить их уже будет невозможно. Любые изменения в зашифрованных файлах могут повлечь за собой повреждение закрытого ключа и, как следствие, потерю всех данных.
>>>>>>>>>>>>>>>>>>>>>>>>>>>> Ваш личный ID: F3AA226DACCDA0EF <<<<<<<<<<<<<<<<<<<<< <<<<<<<<<<
Имя пользователя и пароль идентичны указанным выше. Поскольку мы используем шифрование SSL (https), а также .onion, сертификат не подписан должным образом, иначе IP-адрес нашего сервера будет виден всем. Итак, чтобы попасть в чат, нужно подтвердить исключение небезопасного соединения. Спасибо за понимание.
Вы можете скачать TOX здесь > https://tox.chat/download.html
Вы также можете написать в чат, расположенный в сети TOR по адресу:
hxxxs://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
Вы можете скачать браузер TOR здесь > https://www.torproject.org/download/
:: наш TOX ниже >:)
D3404141459BC7206CC4AFEC16A3403F262C0937A732C12644E7CA97F0615201A519F7EAB2E2
Всем добра и хорошего настроения, надеюсь вы внимательно прочитали это сообщение и уже знаете что делать XDXD
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Изменяет код bootmgr жёсткого диска, чтобы записать на диск буткит (bootkit) и вывести своё сообщение перед загрузкой Windows. Используется текст и ASCII-картинка.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
d0nut.html - название файла с требованием выкупа;
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
При шифровании файлов кроме собственных файлов, пропускаются файлы и папки, содержащие следующие названия и строки:
Edge
ntldr
Opera
bootsect.bak
Chrome
BOOTSTAT.DAT
boot.ini
AllUsers
Chromium
bootmgr
Windows
thumbs.db
ntuser.ini
ntuser.dat
desktop.ini
bootmgr.efi
autorun.inf
Файлы, связанные с этим Ransomware:
d0nut.html - название файла с требованием выкупа;
donut.exe - название вредоносного файла;
<random>.exe - случайное название вредоносного файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
TOX-мессенджер
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
TOX-мессенджер
Tor-URL: hxxxs://qkbbaxiuqqcqb5nox4np4qjcniy2q6m7yeluvj7n5i5dn7pgpcwxwfid.onion
См. ниже в обновлениях другие адреса и контакты.
MD5: a8b3b71860ca65a9e5e56fa3e27cd92b
SHA-1: 8a5bd8bf26eceaa7adff6e59227646155d220f3e
SHA-256: 9455b7fcf93f0a5a6f9c099fbe938f5a9169f8d3dcc83833aa2c0f903518cfa3
Vhash: 015056655d75151"z
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Вариант от 4 октября 2024 или раньше:
Расширение: .<random>
Пример расширения: .xqmln
Записка: readme.html
Записка: readme.html
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Write-up, Topic of Support ***
Thanks: BleepingComputer, Unit 42 Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
