DoctorHelp Ransomware Βασισμένο στο MedusaLocker
Η ομάδα μας ανακάλυψε το DoctorHelp - ένα κομμάτι κακόβουλου λογισμικού που ταξινομείται ως ransomware, που ανήκει στην οικογένεια MedusaLocker. Ο πρωταρχικός στόχος του DoctorHelp είναι η κρυπτογράφηση αρχείων.
Επιπλέον, το DoctorHelp δημιουργεί μια σημείωση λύτρων με τίτλο "How_to_back_files.html" και προσαρτά την επέκταση ".doctorhelp" στα ονόματα αρχείων. Για παράδειγμα, αλλάζει το "1.jpg" σε "1.jpg.doctorhelp" και το "2.png" σε "2.png.doctorhelp" και ούτω καθεξής. Το σημείωμα λύτρων αναφέρει ρητά ότι τα βασικά αρχεία που ανήκουν στο θύμα έχουν υποστεί κρυπτογράφηση. Οι εγκληματίες του κυβερνοχώρου διαβεβαιώνουν το θύμα ότι τα αρχεία παραμένουν άθικτα, αλλά έχουν υποστεί αλλαγές χρησιμοποιώντας κρυπτογράφηση RSA και AES. Το σημείωμα συμβουλεύει σθεναρά να μην επιχειρήσετε επαναφορά αρχείων με λογισμικό τρίτων, υποστηρίζοντας ότι τέτοιες προσπάθειες θα οδηγούσαν σε μη αναστρέψιμη καταστροφή.
Οι φορείς της απειλής ισχυρίζονται ότι έχουν λάβει εξαιρετικά εμπιστευτικά και προσωπικά δεδομένα που είναι αποθηκευμένα επί του παρόντος σε έναν ιδιωτικό διακομιστή. Σύμφωνα με τους ισχυρισμούς, αυτός ο διακομιστής έχει ρυθμιστεί για άμεση καταστροφή κατά την παραλαβή της πληρωμής. Ελλείψει πληρωμής, το σημείωμα απειλεί να αποκαλύψει τα δεδομένα που συλλέγονται στο κοινό ή σε πιθανούς αγοραστές, θέτοντας άμεσο κίνδυνο δημόσιας έκθεσης.
Επιπλέον, οι εισβολείς προτείνουν μια ρύθμιση όπου το θύμα μπορεί να στείλει 2-3 μη απαραίτητα αρχεία για δωρεάν αποκρυπτογράφηση ως επίδειξη της ικανότητάς τους να επαναφέρουν αρχεία κατά την πληρωμή. Το σημείωμα λύτρων παρέχει στοιχεία επικοινωνίας (διευθύνσεις email doctorhelperss@gmail.com και helpersdoctor@outlook.com) και συμβουλεύει το θύμα να δημιουργήσει έναν λογαριασμό email στο protonmail.com για επικοινωνία.
Ορίζεται προθεσμία 72 ωρών, συνοδευόμενη από προειδοποίηση ότι η αποτυχία έναρξης επαφής εντός αυτού του χρονικού πλαισίου θα οδηγήσει σε αύξηση της ζήτησης λύτρων. Το μήνυμα ολοκληρώνεται με μια πρόταση για χρήση του Tor-chat για συνεχή επικοινωνία, δίνοντας έμφαση στη δέσμευση των εγκληματιών να διατηρήσουν επαφή καθ' όλη τη διάρκεια της διαδικασίας διαπραγμάτευσης.
Το DoctorHelp Ransom Note υπόσχεται αποκρυπτογράφηση μερικών αρχείων
Το πλήρες κείμενο του σημειώματος λύτρων DoctorHelp έχει ως εξής:
YOUR PERSONAL ID:
YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.Κανένα λογισμικό που διατίθεται στο διαδίκτυο δεν μπορεί να σας βοηθήσει. Είμαστε οι μόνοι που μπορούμε
λύσε το πρόβλημά σου.Συγκεντρώσαμε άκρως εμπιστευτικά/προσωπικά δεδομένα. Αυτά τα δεδομένα αποθηκεύονται αυτήν τη στιγμή στο
έναν ιδιωτικό διακομιστή. Αυτός ο διακομιστής θα καταστραφεί αμέσως μετά την πληρωμή σας.
Εάν αποφασίσετε να μην πληρώσετε, θα δημοσιοποιήσουμε τα δεδομένα σας ή θα μεταπωλήσουμε.
Έτσι, μπορείτε να περιμένετε τα δεδομένα σας να είναι δημόσια διαθέσιμα στο εγγύς μέλλον..Επιδιώκουμε μόνο χρήματα και στόχος μας δεν είναι να βλάψουμε τη φήμη σας ή να αποτρέψουμε
η επιχείρησή σας από τη λειτουργία.Μπορείτε να μας στείλετε 2-3 μη σημαντικά αρχεία και θα τα αποκρυπτογραφήσουμε δωρεάν
για να αποδείξουμε ότι είμαστε σε θέση να δώσουμε πίσω τα αρχεία σας.Επικοινωνήστε μαζί μας για τιμή και λάβετε λογισμικό αποκρυπτογράφησης.
ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ:
doktorhelperss@gmail.com
helpersdoctor@outlook.com
Για να επικοινωνήσετε μαζί μας, δημιουργήστε έναν νέο δωρεάν λογαριασμό email στον ιστότοπο: protonmail.com
ΕΑΝ ΔΕΝ ΕΠΙΚΟΙΝΩΝΗΣΕΤΕ ΜΑΖΙ ΜΑΣ ΕΝΤΟΣ 72 ΩΡΩΝ, Η ΤΙΜΗ ΘΑ ΕΙΝΑΙ ΥΨΗΛΗ.Tor-chat για να είστε πάντα σε επαφή:
Πώς οι εγκληματίες διανέμουν το Ransomware στο Διαδίκτυο;
Οι εγκληματίες χρησιμοποιούν διάφορες μεθόδους για τη διανομή ransomware στο διαδίκτυο, εκμεταλλευόμενοι τα τρωτά σημεία και εκμεταλλευόμενοι την ανθρώπινη συμπεριφορά. Ακολουθούν ορισμένες κοινές τακτικές που χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου για τη διανομή ransomware:
Email ηλεκτρονικού ψαρέματος:
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν συχνά μηνύματα ηλεκτρονικού ψαρέματος για τη διανομή ransomware. Στέλνουν email που φαίνονται νόμιμα, συχνά μιμούνται αξιόπιστες οντότητες ή υπηρεσίες και περιλαμβάνουν κακόβουλα συνημμένα ή συνδέσμους. Κάνοντας κλικ σε αυτά τα συνημμένα ή τους συνδέσμους μπορεί να ενεργοποιηθεί η λήψη και η εκτέλεση του ransomware.
Κακόβουλοι σύνδεσμοι και ιστότοποι:
Οι εγκληματίες δημιουργούν κακόβουλους ιστότοπους ή εισάγουν κακόβουλο κώδικα σε νόμιμους ιστότοπους. Οι χρήστες ενδέχεται να κατευθύνονται σε αυτούς τους ιστότοπους μέσω μηνυμάτων ηλεκτρονικού ψαρέματος, παραβιασμένων διαφημίσεων ή άλλων παραπλανητικών τακτικών. Η επίσκεψη σε τέτοιους ιστότοπους μπορεί να οδηγήσει στην αυτόματη λήψη και εγκατάσταση ransomware.
Κιτ εκμετάλλευσης:
Τα κιτ εκμετάλλευσης είναι κιτ εργαλείων που περιέχουν προ-γραμμένο κώδικα για την εκμετάλλευση τρωτών σημείων στο λογισμικό. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν αυτά τα κιτ για να στοχεύσουν απαρχαιωμένο λογισμικό στο σύστημα ενός χρήστη. Όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο ή κάνει κλικ σε έναν κακόβουλο σύνδεσμο, το κιτ εκμετάλλευσης εντοπίζει και εκμεταλλεύεται ευπάθειες, επιτρέποντας την παράδοση και την εκτέλεση του ransomware.
Κακή διαφήμιση:
Η κακόβουλη διαφήμιση περιλαμβάνει την τοποθέτηση κακόβουλου κώδικα σε διαδικτυακές διαφημίσεις. Όταν οι χρήστες κάνουν κλικ σε αυτές τις διαφημίσεις ή επισκέπτονται ιστότοπους που τις φιλοξενούν, ο κακόβουλος κώδικας μπορεί να εκμεταλλευτεί ευπάθειες στο πρόγραμμα περιήγησης ή στις προσθήκες του χρήστη για την παροχή ransomware.
Κοινωνική μηχανική:
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν τεχνικές κοινωνικής μηχανικής για να χειραγωγήσουν τους χρήστες ώστε να προβούν σε ενέργειες που οδηγούν σε μόλυνση με ransomware. Αυτό μπορεί να περιλαμβάνει την εξαπάτηση των χρηστών ώστε να κατεβάσουν και να εκτελέσουν κακόβουλα αρχεία ή να κάνουν κλικ σε συνδέσμους μέσω παραπλανητικών τακτικών, όπως ψεύτικες ειδοποιήσεις, προειδοποιήσεις ή δελεαστικές προσφορές.
