據BleepingComputer 11月22日消息稱，名為甜甜圈（D0nut）的勒索軟件組織正制定針對企業的雙重勒索攻擊策略。

今年8月，BleepingComputer首次報道了甜甜圈勒索軟件組織，它們分別參與了對希臘天然氣公司 DESFA、英國建筑公司 Sheppard Robson 和跨國建筑公司 Sando 的網絡勒索攻擊。

最近，BleepingComputer 發現了用于甜甜圈的加密器樣本，表明該組織正在使用自己定制的勒索軟件進行雙重勒索攻擊。根據分析，加密器在執行時會掃描匹配特定擴展名的文件進行加密，并避開包含以下字符串的文件和文件夾：

Edge

• ntldr
• Opera
• bootsect.bak
• Chrome
• BOOTSTAT.DAT
• boot.ini
• AllUsers
• Chromium
• bootmgr
• Windows
• thumbs.db
• ntuser.ini
• ntuser.dat
• desktop.ini
• bootmgr.efi
• autorun.inf

當文件被加密時，Donut 勒索軟件會將 .d0nut 擴展名附加到加密文件。因此，例如，1.jpg 將被加密并重命名為 1.jpg.d0nut。

甜甜圈勒索軟件還會利用 ASCII 編碼，制作富有個性化的贖金票據頁面，如旋轉的 ASCII 甜甜圈。

甜甜圈勒索軟件的贖金票據

為了增強隱蔽性，贖金票據被嚴重混淆，所有字符串都被編碼，要通過JavaScript在瀏覽器中對贖金票據進行解碼。這些贖金票據包括聯系攻擊者的不同方式，例如通過 TOX 和 Tor 協商站點。

甜甜圈勒索軟件還在其數據泄露站點上設置了一個構建器，由一個 bash 腳本組成，用于創建 Windows 和 Linux Electron 應用程序，并帶有捆綁的 Tor 客戶端以訪問數據泄露站點。

BleepingComputer認為，該勒索組織不僅有較為突出的技能水平，而且還有一定的營銷能力，需要對其引起足夠的警惕。

參考來源：https://www.bleepingcomputer.com/news/security/donut-extortion-group-also-targets-victims-with-ransomware/