DoctorHelp ransomware basado en MedusaLocker

Nuestro equipo descubrió DoctorHelp, un software malicioso clasificado como ransomware, perteneciente a la familia MedusaLocker. El objetivo principal de DoctorHelp es cifrar archivos.

Además, DoctorHelp genera una nota de rescate titulada "How_to_back_files.html" y añade la extensión ".doctorhelp" a los nombres de archivos. Por ejemplo, modifica "1.jpg" por "1.jpg.doctorhelp" y "2.png" por "2.png.doctorhelp", y así sucesivamente. La nota de rescate transmite explícitamente que los archivos esenciales propiedad de la víctima han sido cifrados. Los ciberdelincuentes aseguran a la víctima que los archivos permanecen intactos pero han sufrido modificaciones mediante cifrado RSA y AES. La nota desaconseja encarecidamente intentar restaurar archivos con software de terceros, alegando que tales esfuerzos resultarían en una corrupción irreversible.

Los actores de amenazas afirman que han obtenido datos personales altamente confidenciales actualmente almacenados en un servidor privado. Supuestamente, este servidor está configurado para su destrucción inmediata al recibir el pago. En caso de falta de pago, la nota amenaza con revelar los datos capturados al público o a compradores potenciales, lo que plantea un riesgo inminente de exposición pública.

Además, los atacantes proponen un acuerdo en el que la víctima puede enviar 2 o 3 archivos no esenciales para descifrarlos de forma gratuita como demostración de su capacidad para restaurar archivos mediante pago. La nota de rescate proporciona detalles de contacto (direcciones de correo electrónico doctorhelperss@gmail.com y helpersdoctor@outlook.com) y aconseja a la víctima que establezca una cuenta de correo electrónico en protonmail.com para comunicarse.

Se estipula un plazo de 72 horas, acompañado de una advertencia de que si no se inicia el contacto dentro de este plazo, se producirá un aumento en la demanda de rescate. El mensaje concluye con una sugerencia de utilizar Tor-chat para una comunicación continua, enfatizando el compromiso de los delincuentes de mantener el contacto durante todo el proceso de negociación.

La nota de rescate de DoctorHelp promete descifrar algunos archivos

El texto completo de la nota de rescate de DoctorHelp es el siguiente:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

Ningún software disponible en Internet puede ayudarle. Somos los únicos capaces de
resuelve tu problema.

Recopilamos datos personales/altamente confidenciales. Estos datos están actualmente almacenados en
un servidor privado. Este servidor será destruido inmediatamente después de su pago.
Si decide no pagar, divulgaremos sus datos al público o al revendedor.
Por lo tanto, puede esperar que sus datos estén disponibles públicamente en un futuro próximo.

Sólo buscamos dinero y nuestro objetivo no es dañar su reputación ni impedir
su negocio deje de funcionar.

Podrás enviarnos 2 o 3 archivos no importantes y los descifraremos gratis
para demostrar que podemos devolverle sus archivos.

Contáctenos para conocer el precio y obtener software de descifrado.

correo electrónico:
doctorhelperss@gmail.com
ayudantesdoctor@outlook.com
Para contactarnos, cree una nueva cuenta de correo electrónico gratuita en el sitio: protonmail.com
SI NO SE CONTACTA CON NOSOTROS DENTRO DE LAS 72 HORAS, EL PRECIO SERÁ MÁS ALTO.

Tor-chat para estar siempre en contacto:

¿Cómo distribuyen los delincuentes el ransomware en línea?

Los delincuentes utilizan diversos métodos para distribuir ransomware en línea, aprovechando las vulnerabilidades y explotando el comportamiento humano. A continuación se muestran algunas tácticas comunes empleadas por los ciberdelincuentes para distribuir ransomware:

Correos electrónicos de phishing:
Los ciberdelincuentes suelen utilizar correos electrónicos de phishing para distribuir ransomware. Envían correos electrónicos que parecen legítimos, a menudo imitan entidades o servicios confiables e incluyen archivos adjuntos o enlaces maliciosos. Al hacer clic en estos archivos adjuntos o enlaces se puede activar la descarga y ejecución de ransomware.

Enlaces y sitios web maliciosos:
Los delincuentes crean sitios web maliciosos o inyectan códigos maliciosos en sitios web legítimos. Los usuarios pueden ser dirigidos a estos sitios a través de correos electrónicos de phishing, anuncios comprometidos u otras tácticas engañosas. Visitar dichos sitios puede provocar la descarga e instalación automática de ransomware.

Kits de explotación:
Los kits de explotación son conjuntos de herramientas que contienen código preescrito para explotar vulnerabilidades en el software. Los ciberdelincuentes utilizan estos kits para atacar el software obsoleto en el sistema de un usuario. Cuando un usuario visita un sitio web comprometido o hace clic en un enlace malicioso, el kit de explotación identifica y explota las vulnerabilidades, lo que permite entregar y ejecutar el ransomware.

Publicidad maliciosa:
La publicidad maliciosa implica colocar código malicioso en anuncios en línea. Cuando los usuarios hacen clic en estos anuncios o visitan sitios web que los alojan, el código malicioso puede aprovechar las vulnerabilidades del navegador o los complementos del usuario para distribuir ransomware.

Ingeniería social:
Los ciberdelincuentes utilizan técnicas de ingeniería social para manipular a los usuarios para que realicen acciones que conduzcan a una infección de ransomware. Esto puede implicar engañar a los usuarios para que descarguen y ejecuten archivos maliciosos o hagan clic en enlaces mediante tácticas engañosas, como alertas falsas, advertencias u ofertas atractivas.