Oprogramowanie ransomware DoctorHelp oparte na MedusaLocker

ransomware

Nasz zespół odkrył DoctorHelp - złośliwy program sklasyfikowany jako ransomware, należący do rodziny MedusaLocker. Podstawowym celem DoctorHelp jest szyfrowanie plików.

Ponadto DoctorHelp generuje żądanie okupu zatytułowane „How_to_back_files.html” i dodaje rozszerzenie „.doctorhelp” do nazw plików. Na przykład zmienia „1.jpg” na „1.jpg.doctorhelp” i „2.png” na „2.png.doctorhelp” i tak dalej. Notatka z żądaniem okupu wyraźnie informuje, że najważniejsze pliki będące własnością ofiary zostały zaszyfrowane. Cyberprzestępcy zapewniają ofiarę, że pliki pozostają nienaruszone, ale zostały poddane zmianom przy użyciu szyfrowania RSA i AES. W notatce zdecydowanie odradza się próby przywracania plików za pomocą oprogramowania stron trzecich, twierdząc, że takie wysiłki spowodują nieodwracalne uszkodzenie.

Podmioty zagrażające zapewniają, że uzyskali wysoce poufne i osobiste dane przechowywane obecnie na prywatnym serwerze. Podobno ten serwer jest przeznaczony do natychmiastowego zniszczenia po otrzymaniu płatności. W przypadku braku płatności notatka grozi ujawnieniem przechwyconych danych opinii publicznej lub potencjalnym nabywcom, stwarzając bezpośrednie ryzyko narażenia opinii publicznej.

Ponadto napastnicy proponują rozwiązanie, w ramach którego ofiara może wysłać 2–3 niepotrzebne pliki do bezpłatnego odszyfrowania w ramach demonstracji możliwości przywrócenia plików po dokonaniu płatności. Notatka z żądaniem okupu zawiera dane kontaktowe (adresy e-mail doctorhelperss@gmail.com i helpersdoctor@outlook.com) i doradza ofierze założenie konta e-mail na protonmail.com w celu komunikacji.

Określony jest 72-godzinny termin, któremu towarzyszy ostrzeżenie, że niezainicjowanie kontaktu w tym terminie spowoduje wzrost żądania okupu. Wiadomość kończy się sugestią wykorzystania Tor-chata do bieżącej komunikacji, co podkreśla zaangażowanie przestępców w utrzymywanie kontaktu przez cały proces negocjacji.

Żądanie okupu DoctorHelp obiecuje odszyfrowanie kilku plików

Pełny tekst żądania okupu DoctorHelp brzmi następująco:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

Żadne oprogramowanie dostępne w Internecie nie może Ci pomóc. Tylko my możemy to zrobić
rozwiązać swój problem.

Zebraliśmy dane wysoce poufne/osobowe. Dane te są obecnie przechowywane na
prywatny serwer. Serwer ten zostanie natychmiast zniszczony po dokonaniu płatności.
Jeśli zdecydujesz się nie płacić, udostępnimy Twoje dane społeczeństwu lub sprzedawcy.
Możesz więc spodziewać się, że Twoje dane będą w najbliższej przyszłości publicznie dostępne.

Szukamy tylko pieniędzy i naszym celem nie jest niszczenie Twojej reputacji ani zapobieganie
od prowadzenia Twojej firmy.

Możesz przesłać nam 2-3 nieistotne pliki, a my je odszyfrujemy za darmo
aby udowodnić, że jesteśmy w stanie zwrócić Twoje pliki.

Skontaktuj się z nami, aby uzyskać cenę i uzyskać oprogramowanie deszyfrujące.

e-mail:
doctorhelperss@gmail.com
helpersdoctor@outlook.com
Aby się z nami skontaktować, utwórz nowe bezpłatne konto e-mail na stronie: protonmail.com
JEŻELI NIE SKONTAKTUJESZ SIĘ Z NAMI W CIĄGU 72 GODZIN, CENA BĘDZIE WYŻSZA.

Czat Tor, aby być zawsze w kontakcie:

W jaki sposób przestępcy rozpowszechniają oprogramowanie ransomware w Internecie?

Przestępcy wykorzystują różne metody dystrybucji oprogramowania ransomware w Internecie, wykorzystując luki w zabezpieczeniach i wykorzystując ludzkie zachowanie. Oto kilka typowych taktyk stosowanych przez cyberprzestępców w celu dystrybucji oprogramowania ransomware:

E-maile phishingowe:
 Cyberprzestępcy często wykorzystują wiadomości e-mail phishingowe do dystrybucji oprogramowania ransomware. Wysyłają e-maile, które wydają się uzasadnione, często podszywając się pod zaufane podmioty lub usługi i zawierają złośliwe załączniki lub łącza. Kliknięcie tych załączników lub łączy może spowodować pobranie i wykonanie oprogramowania ransomware.

Złośliwe linki i strony internetowe:
 Przestępcy tworzą złośliwe strony internetowe lub wstrzykiwają złośliwy kod do legalnych stron internetowych. Użytkownicy mogą być kierowani do tych witryn za pośrednictwem wiadomości e-mail phishingowych, zainfekowanych reklam lub innych zwodniczych taktyk. Odwiedzenie takich witryn może spowodować automatyczne pobranie i instalację oprogramowania ransomware.

Zestawy exploitów:
 Zestawy exploitów to zestawy narzędzi zawierające wstępnie napisany kod umożliwiający wykorzystanie luk w oprogramowaniu. Cyberprzestępcy wykorzystują te zestawy do atakowania nieaktualnego oprogramowania w systemie użytkownika. Gdy użytkownik odwiedza zaatakowaną witrynę internetową lub klika złośliwy link, zestaw exploitów identyfikuje i wykorzystuje luki, umożliwiając dostarczenie i wykonanie oprogramowania ransomware.

Złośliwe reklamy:
 Złośliwe reklamy polegają na umieszczaniu złośliwego kodu w reklamach internetowych. Gdy użytkownicy klikają te reklamy lub odwiedzają witryny hostujące je, złośliwy kod może wykorzystywać luki w przeglądarce użytkownika lub wtyczkach w celu dostarczania oprogramowania ransomware.

Inżynieria społeczna:
 Cyberprzestępcy wykorzystują techniki inżynierii społecznej, aby manipulować użytkownikami w celu podjęcia działań prowadzących do infekcji oprogramowaniem ransomware. Może to obejmować nakłonienie użytkowników do pobrania i uruchomienia złośliwych plików lub kliknięcia łączy przy użyciu zwodniczych taktyk, takich jak fałszywe alerty, ostrzeżenia lub kuszące oferty.

Do Zaib
December 4, 2023
Ransomware
Polski
December 4, 2023
Ransomware

Popularne posty

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

11 months temu

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

12 days temu

Uwaga: ktoś dodał Cię jako oszustwo związane z e-mailem...

10 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

7 months temu

Potencjalnie poważne zagrożenie: Trojan:Win32/Suschil!rfn

19 days temu

Czym jest zagrożenie związane z koniem trojańskim Packunwan i...

11 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.