DoctorHelp Ransomware MedusaLocker alapján

Csapatunk felfedezte a DoctorHelp-et – egy ransomware-nek minősített rosszindulatú szoftvert, amely a MedusaLocker családhoz tartozik. A DoctorHelp elsődleges célja a fájlok titkosítása.

Ezenkívül a DoctorHelp létrehoz egy váltságdíjat "How_to_back_files.html" címmel, és hozzáfűzi a ".doctorhelp" kiterjesztést a fájlnevekhez. Például megváltoztatja az „1.jpg”-t „1.jpg.doctorhelp”-re, a „2.png”-t pedig „2.png.doctorhelp”-re és így tovább. A váltságdíjról szóló feljegyzés kifejezetten azt jelzi, hogy az áldozat tulajdonában lévő alapvető fájlok titkosításon estek át. A kiberbűnözők biztosítják az áldozatot, hogy a fájlok érintetlenek maradnak, de RSA és AES titkosítással módosították őket. A feljegyzés nyomatékosan javasolja, hogy ne kíséreljék meg a fájl-visszaállítást harmadik féltől származó szoftverekkel, mivel az ilyen erőfeszítések visszafordíthatatlan károsodáshoz vezetnek.

A fenyegetés szereplői azt állítják, hogy rendkívül bizalmas és személyes adatokhoz jutottak, amelyeket jelenleg egy privát szerveren tárolnak. Állítólag ez a szerver azonnali megsemmisítésre van beállítva a fizetés kézhezvételét követően. Fizetés hiányában a feljegyzés azzal fenyeget, hogy a rögzített adatokat nyilvánosságra vagy potenciális vásárlók elé tárják, ami közvetlen nyilvánosságot jelent.

Ezenkívül a támadók olyan megállapodást javasolnak, amelyben az áldozat 2-3 nem alapvető fontosságú fájlt küldhet ingyenes visszafejtésre, demonstrálva, hogy fizetés ellenében képesek visszaállítani a fájlokat. A váltságdíj feljegyzése megadja az elérhetőségeket (doctorhelperss@gmail.com és helpersdoctor@outlook.com e-mail címeket), és azt tanácsolja az áldozatnak, hogy hozzon létre egy e-mail fiókot a protonmail.com oldalon a kommunikációhoz.

72 órás határidőt írnak elő, amelyhez egy figyelmeztetés is kapcsolódik, hogy ha ezen időn belül nem kezdeményezi a kapcsolatfelvételt, az a váltságdíj-igény növekedését eredményezi. Az üzenet azzal a javaslattal zárul, hogy a folyamatos kommunikációhoz a Tor-chatet használják, hangsúlyozva a bűnözők elkötelezettségét a kapcsolattartás mellett a tárgyalási folyamat során.

A DoctorHelp Ransom Note néhány fájl visszafejtését ígéri

A DoctorHelp váltságdíjról szóló feljegyzés teljes szövege a következő:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

Az interneten elérhető szoftverek nem segíthetnek. Csak mi vagyunk képesek rá
oldja meg a problémáját.

Erősen bizalmas/személyes adatokat gyűjtöttünk. Ezek az adatok jelenleg a következő helyen vannak tárolva
egy privát szerver. Ez a szerver azonnal megsemmisül a fizetés után.
Ha úgy dönt, hogy nem fizet, akkor adatait nyilvánosságra hozzuk vagy viszonteladónak adjuk ki.
Így arra számíthat, hogy adatai a közeljövőben nyilvánosan elérhetőek lesznek.

Csak pénzt keresünk, és nem az a célunk, hogy rontsuk az Ön hírnevét vagy megakadályozzuk
vállalkozása működéséből.

2-3 nem fontos fájlt küldhet nekünk, és mi ingyenesen visszafejtjük
annak bizonyítására, hogy vissza tudjuk adni a fájljait.

Lépjen kapcsolatba velünk az árért és szerezzen visszakódoló szoftvert.

email:
doctorhelperss@gmail.com
helpersdoctor@outlook.com
Ha kapcsolatba szeretne lépni velünk, hozzon létre egy új ingyenes e-mail fiókot a protonmail.com webhelyen
HA 72 ÓRÁN BELÜL NEM KERÜLI VELÜNK KAPCSOLATOT, AZ ÁR MAGASABB LESZ.

Tor-chat, hogy mindig kapcsolatban legyen:

Hogyan terjesztik a bűnözők a Ransomware-t online?

A bûnözõk különféle módszereket alkalmaznak a zsarolóvírusok online terjesztésére, kihasználva a sebezhetõségeket és kihasználva az emberi viselkedést. Íme néhány gyakori taktika, amelyet a kiberbűnözők alkalmaznak a zsarolóvírusok terjesztésére:

Adathalász e-mailek:
A kiberbűnözők gyakran használnak adathalász e-maileket zsarolóprogramok terjesztésére. Legálisnak tűnő, gyakran megbízható entitásokat vagy szolgáltatásokat utánzó e-maileket küldenek, és rosszindulatú mellékleteket vagy hivatkozásokat tartalmaznak. Ezekre a mellékletekre vagy hivatkozásokra kattintva zsarolóprogramok letöltése és végrehajtása indítható el.

Rosszindulatú linkek és webhelyek:
A bûnözõk rosszindulatú webhelyeket hoznak létre, vagy rosszindulatú kódot fecskendeznek be legitim webhelyekre. A felhasználókat adathalász e-mailek, feltört hirdetések vagy más megtévesztő taktika révén irányíthatják ezekre a webhelyekre. Az ilyen webhelyek látogatása zsarolóvírusok automatikus letöltéséhez és telepítéséhez vezethet.

Exploit készletek:
Az exploit kitek olyan eszközkészletek, amelyek előre megírt kódot tartalmaznak a szoftver sérülékenységeinek kihasználására. A kiberbűnözők ezeket a készleteket használják a felhasználó rendszerén lévő elavult szoftverek megcélzására. Amikor a felhasználó meglátogat egy feltört webhelyet, vagy rákattint egy rosszindulatú hivatkozásra, a kizsákmányoló készlet azonosítja és kihasználja a sebezhetőségeket, lehetővé téve a zsarolóprogramok kézbesítését és végrehajtását.

Rosszindulatú hirdetés:
A rosszindulatú reklámozás magában foglalja a rosszindulatú kód elhelyezését az online hirdetésekben. Amikor a felhasználók ezekre a hirdetésekre kattintanak, vagy felkeresnek egy azokat tároló webhelyet, a rosszindulatú kód kihasználhatja a felhasználó böngészőjének vagy bővítményeinek sebezhetőségét zsarolóprogramok küldésére.

Szociális tervezés:
A kiberbűnözők szociális tervezési technikákat alkalmaznak, hogy a felhasználókat zsarolóprogram-fertőzéshez vezető műveletekre manipulálják. Ez magában foglalhatja a felhasználók becsapását rosszindulatú fájlok letöltésére és végrehajtására, vagy a hivatkozásokra való kattintást megtévesztő taktikával, például hamis riasztásokkal, figyelmeztetésekkel vagy csábító ajánlatokkal.