DoctorHelp-ransomware gebaseerd op MedusaLocker

Ons team ontdekte DoctorHelp - een stukje kwaadaardige software geclassificeerd als ransomware, behorend tot de MedusaLocker-familie. Het primaire doel van DoctorHelp is het versleutelen van bestanden.

Bovendien genereert DoctorHelp een losgeldbrief met de titel "How_to_back_files.html" en voegt de extensie ".doctorhelp" toe aan de bestandsnamen. Het verandert bijvoorbeeld "1.jpg" in "1.jpg.doctorhelp" en "2.png" in "2.png.doctorhelp", enzovoort. De losgeldbrief geeft expliciet aan dat essentiële bestanden die eigendom zijn van het slachtoffer, zijn versleuteld. De cybercriminelen verzekeren het slachtoffer dat de bestanden intact blijven, maar wijzigingen hebben ondergaan met behulp van RSA- en AES-codering. In de nota wordt sterk afgeraden om bestanden te herstellen met software van derden, omdat dergelijke inspanningen zouden resulteren in onomkeerbare corruptie.

De bedreigingsactoren beweren dat ze zeer vertrouwelijke en persoonlijke gegevens hebben verkregen die momenteel op een privéserver zijn opgeslagen. Naar verluidt zal deze server onmiddellijk worden vernietigd na ontvangst van de betaling. Als er niet wordt betaald, dreigt het bankbiljet de vastgelegde gegevens openbaar te maken aan het publiek of potentiële kopers, wat een onmiddellijk risico van publieke bekendheid met zich meebrengt.

Bovendien stellen de aanvallers een regeling voor waarbij het slachtoffer twee tot drie niet-essentiële bestanden gratis kan laten decoderen, als demonstratie van hun vermogen om bestanden tegen betaling te herstellen. De losgeldbrief bevat contactgegevens (e-mailadressen doctorhelperss@gmail.com en helpersdoctor@outlook.com) en adviseert het slachtoffer om een e-mailaccount op protonmail.com aan te maken voor communicatie.

Er is een deadline van 72 uur gesteld, vergezeld van een waarschuwing dat het niet binnen dit tijdsbestek initiëren van contact zal resulteren in een toename van de vraag naar losgeld. Het bericht wordt afgesloten met een suggestie om Tor-chat te gebruiken voor voortdurende communicatie, waarbij de nadruk wordt gelegd op de inzet van de criminelen om tijdens het onderhandelingsproces contact te onderhouden.

DoctorHelp Ransom Note belooft decodering van een paar bestanden

De volledige tekst van de losgeldbrief van DoctorHelp luidt als volgt:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

Er is geen software beschikbaar op internet die u kan helpen. Wij zijn de enigen die daartoe in staat zijn
los uw probleem op.

We hebben zeer vertrouwelijke/persoonlijke gegevens verzameld. Deze gegevens worden momenteel opgeslagen op
een privéserver. Deze server wordt na uw betaling onmiddellijk vernietigd.
Als u besluit niet te betalen, geven wij uw gegevens vrij aan het publiek of aan de wederverkoper.
U kunt er dus van uitgaan dat uw gegevens in de nabije toekomst openbaar beschikbaar zullen zijn.

Wij streven alleen naar geld en ons doel is niet om uw reputatie te schaden of te voorkomen
uw bedrijf niet meer draait.

U kunt ons 2-3 niet-belangrijke bestanden sturen en wij zullen deze gratis decoderen
om te bewijzen dat wij uw bestanden terug kunnen geven.

Neem contact met ons op voor de prijs en ontvang decoderingssoftware.

e-mail:
doctorhelperss@gmail.com
helpersdoctor@outlook.com
Om contact met ons op te nemen, maakt u een nieuw gratis e-mailaccount aan op de site: protonmail.com
ALS U NIET BINNEN 72 UUR CONTACT MET ONS NEEMT, ZAL DE PRIJS HOGER ZIJN.

Tor-chat om altijd contact te houden:

Hoe verspreiden criminelen ransomware online?

Criminelen gebruiken verschillende methoden om ransomware online te verspreiden, waarbij ze misbruik maken van kwetsbaarheden en menselijk gedrag uitbuiten. Hier volgen enkele veelgebruikte tactieken die cybercriminelen gebruiken om ransomware te verspreiden:

Phishing-e-mails:
Cybercriminelen gebruiken vaak phishing-e-mails om ransomware te verspreiden. Ze sturen e-mails die er legitiem uitzien, vaak vertrouwde entiteiten of diensten nabootsen, en kwaadaardige bijlagen of links bevatten. Als u op deze bijlagen of links klikt, kan het downloaden en uitvoeren van ransomware worden geactiveerd.

Schadelijke links en websites:
Criminelen creëren kwaadaardige websites of injecteren kwaadaardige code in legitieme websites. Gebruikers kunnen naar deze sites worden geleid via phishing-e-mails, gecompromitteerde advertenties of andere misleidende tactieken. Het bezoeken van dergelijke sites kan leiden tot het automatisch downloaden en installeren van ransomware.

Exploitkits:
Exploitkits zijn toolkits die vooraf geschreven code bevatten om kwetsbaarheden in software te misbruiken. Cybercriminelen gebruiken deze kits om verouderde software op het systeem van een gebruiker aan te vallen. Wanneer een gebruiker een gecompromitteerde website bezoekt of op een kwaadaardige link klikt, identificeert en exploiteert de exploitkit kwetsbaarheden, waardoor de ransomware kan worden afgeleverd en uitgevoerd.

Malvertising:
Bij malvertising wordt kwaadaardige code in online advertenties geplaatst. Wanneer gebruikers op deze advertenties klikken of websites bezoeken die deze advertenties hosten, kan de kwaadaardige code kwetsbaarheden in de browser of plug-ins van de gebruiker misbruiken om ransomware te leveren.

Social engineering:
Cybercriminelen gebruiken social engineering-technieken om gebruikers te manipuleren om acties te ondernemen die leiden tot ransomware-infecties. Dit kan inhouden dat gebruikers worden misleid om kwaadaardige bestanden te downloaden en uit te voeren, of dat ze op links klikken via misleidende tactieken, zoals valse waarschuwingen, waarschuwingen of verleidelijke aanbiedingen.