MedusaLocker に基づく DoctorHelp ランサムウェア
私たちのチームは、DoctorHelp を発見しました。これは、MedusaLocker ファミリーに属する、ランサムウェアとして分類される悪意のあるソフトウェアです。 DoctorHelp の主な目的は、ファイルを暗号化することです。
さらに、DoctorHelp は「How_to_back_files.html」というタイトルの身代金メモを生成し、ファイル名に「.doctorhelp」拡張子を追加します。たとえば、「1.jpg」を「1.jpg.doctorhelp」に、「2.png」を「2.png.doctorhelp」に変更します。身代金メモは、被害者が所有する重要なファイルが暗号化されていることを明示的に伝えています。サイバー犯罪者は、ファイルは無傷のままであるが、RSA および AES 暗号化を使用して変更されていると被害者に保証します。このメモでは、サードパーティ製ソフトウェアを使用してファイルを復元しようとすると、回復不能な破損が発生する可能性があるとして、そのような試みを行わないよう強く推奨しています。
攻撃者は、現在プライベート サーバーに保存されている機密性の高い個人データを入手したと主張しています。伝えられるところによると、このサーバーは支払いを受け取ったら即時に破壊されるように設定されています。支払いがない場合、メモは収集したデータを一般または潜在的な購入者に開示すると脅しており、公衆に暴露される差し迫ったリスクが生じます。
さらに、攻撃者は、支払い時にファイルを復元できることを示すために、被害者が無料の復号化のために 2 ~ 3 個の非必須ファイルを送信できるという取り決めを提案しています。身代金メモには連絡先の詳細 (doctorhelperss@gmail.com および helpersdoctor@outlook.com の電子メール アドレス) が記載されており、被害者に通信用に protonmail.com で電子メール アカウントを作成するようアドバイスしています。
72 時間の期限が規定されており、この期限内に連絡を開始しない場合は身代金の要求が増加するという警告が伴います。このメッセージは、継続的なコミュニケーションに Tor チャットを使用するという提案で終わり、交渉プロセス全体を通じて連絡を維持するという犯罪者の取り組みを強調しています。
DoctorHelpの身代金メモはいくつかのファイルの復号を約束
DoctorHelp 身代金メモの全文は次のとおりです。
YOUR PERSONAL ID:
YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.インターネット上で入手できるソフトウェアは役に立ちません。それができるのは私たちだけです
あなたの問題を解決してください。私たちは機密性の高い個人データを収集しました。これらのデータは現在、次の場所に保存されています。
プライベートサーバー。このサーバーは支払い後すぐに破棄されます。
あなたが支払いをしないことに決めた場合、私たちはあなたのデータを一般公開または再販者に公開します。
したがって、近い将来、データが一般公開されることが期待できます。私たちは金銭のみを求めており、お客様の評判を傷つけたり、妨害したりすることが目標ではありません。
ビジネスの運営を妨げます。重要でないファイルを 2 ~ 3 個送っていただければ、無料で復号化します。
ファイルを返却できることを証明するためです。価格や復号化ソフトウェアについては、お問い合わせください。
Eメール:
Doctorhelpers@gmail.com
helpersdoctor@outlook.com
私たちに連絡するには、サイト protonmail.com で新しい無料メール アカウントを作成してください。
72時間以内にご連絡がない場合、価格は高くなります。Tor-chat でいつでも連絡を取り合いましょう:
犯罪者はどのようにしてランサムウェアをオンラインで配布するのでしょうか?
犯罪者はさまざまな方法を使用してオンラインでランサムウェアを配布し、脆弱性を利用したり人間の行動を悪用したりします。サイバー犯罪者がランサムウェアを配布するために使用する一般的な戦術をいくつか紹介します。
フィッシングメール:
サイバー犯罪者は、ランサムウェアを配布するためにフィッシングメールを使用することがよくあります。これらは、信頼できるエンティティやサービスを模倣した正規の電子メールを送信し、悪意のある添付ファイルやリンクが含まれています。これらの添付ファイルまたはリンクをクリックすると、ランサムウェアのダウンロードと実行がトリガーされる可能性があります。
悪意のあるリンクと Web サイト:
犯罪者は悪意のある Web サイトを作成したり、正規の Web サイトに悪意のあるコードを挿入したりします。ユーザーは、フィッシングメール、不正な広告、またはその他の欺瞞的な戦術を通じてこれらのサイトに誘導される可能性があります。このようなサイトにアクセスすると、ランサムウェアが自動的にダウンロードされ、インストールされる可能性があります。
エクスプロイト キット:
エクスプロイト キットは、ソフトウェアの脆弱性を悪用するための事前に作成されたコードを含むツールキットです。サイバー犯罪者はこれらのキットを使用して、ユーザーのシステム上の古いソフトウェアをターゲットにします。ユーザーが侵害された Web サイトにアクセスするか、悪意のあるリンクをクリックすると、エクスプロイト キットが脆弱性を特定して悪用し、ランサムウェアの配信と実行を可能にします。
マルバタイジング:
マルバタイジングには、オンライン広告に悪意のあるコードを配置することが含まれます。ユーザーがこれらの広告をクリックするか、広告をホストする Web サイトにアクセスすると、悪意のあるコードがユーザーのブラウザまたはプラグインの脆弱性を悪用してランサムウェアを配信する可能性があります。
ソーシャルエンジニアリング:
サイバー犯罪者はソーシャル エンジニアリング技術を使用してユーザーを操作し、ランサムウェア感染につながるアクションを実行させます。これには、偽のアラート、警告、魅力的なオファーなどの欺瞞的な戦術により、ユーザーをだまして悪意のあるファイルをダウンロードして実行させたり、リンクをクリックさせたりすることが含まれます。
