Программа-вымогатель DoctorHelp на базе MedusaLocker

Наша команда обнаружила DoctorHelp — вредоносное ПО, классифицируемое как программы-вымогатели и принадлежащее семейству MedusaLocker. Основная задача DoctorHelp — шифрование файлов.

Кроме того, DoctorHelp генерирует записку о выкупе под названием «How_to_back_files.html» и добавляет расширение «.doctorhelp» к именам файлов. Например, он заменяет «1.jpg» на «1.jpg.doctorhelp», а «2.png» на «2.png.doctorhelp» и так далее. В записке о выкупе прямо говорится, что важные файлы, принадлежащие жертве, были зашифрованы. Киберпреступники уверяют жертву, что файлы остались нетронутыми, но подверглись изменениям с использованием шифрования RSA и AES. В примечании настоятельно не рекомендуется пытаться восстановить файлы с помощью стороннего программного обеспечения, утверждая, что такие усилия могут привести к необратимому повреждению.

Злоумышленники утверждают, что получили конфиденциальные личные данные, которые в настоящее время хранятся на частном сервере. Якобы этот сервер настроен на немедленное уничтожение после получения оплаты. В случае отсутствия оплаты записка угрожает раскрыть собранные данные общественности или потенциальным покупателям, что создает неизбежный риск публичного разоблачения.

Кроме того, злоумышленники предлагают схему, при которой жертва может отправить 2-3 несущественных файла на бесплатную расшифровку в качестве демонстрации своей способности восстановить файлы после оплаты. В записке о выкупе указаны контактные данные (адреса электронной почты doctorhelperss@gmail.com и helpersdoctor@outlook.com) и советуется жертве создать учетную запись электронной почты на protonmail.com для связи.

Установлен 72-часовой срок, сопровождаемый предупреждением о том, что неспособность инициировать контакт в течение этого периода приведет к увеличению требования выкупа. Завершается сообщение предложением использовать Tor-chat для постоянного общения, подчеркивая готовность преступников поддерживать контакт на протяжении всего переговорного процесса.

Записка о выкупе DoctorHelp обещает расшифровку нескольких файлов

Полный текст записки о выкупе DoctorHelp выглядит следующим образом:

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

Никакое программное обеспечение, доступное в Интернете, не может вам помочь. Мы единственные, кто способен
решить вашу проблему.

Мы собрали строго конфиденциальные/личные данные. Эти данные в настоящее время хранятся на
частный сервер. Этот сервер будет немедленно уничтожен после вашей оплаты.
Если вы решите не платить, мы опубликуем ваши данные или перепродадим их.
Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.

Мы ищем только деньги, и наша цель – не навредить вашей репутации и не предотвратить
ваш бизнес от бега.

Вы можете отправить нам 2-3 неважных файла и мы бесплатно их расшифруем.
чтобы доказать, что мы можем вернуть ваши файлы.

Свяжитесь с нами, чтобы узнать цену и получить программное обеспечение для расшифровки.

электронная почта:
Doctorhelperss@gmail.com
helpersdoctor@outlook.com
Чтобы связаться с нами, создайте новую бесплатную учетную запись электронной почты на сайте: protonmail.com.
ЕСЛИ ВЫ НЕ СВЯЖИТЕСЬ С НАМИ В ТЕЧЕНИЕ 72 ЧАСОВ, ЦЕНА БУДЕТ ВЫШЕ.

Тор-чат, чтобы всегда быть на связи:

Как преступники распространяют программы-вымогатели в Интернете?

Преступники используют различные методы для распространения программ-вымогателей в Интернете, используя уязвимости и поведение людей. Вот некоторые распространенные тактики, используемые киберпреступниками для распространения программ-вымогателей:

Фишинговые письма:
Киберпреступники часто используют фишинговые электронные письма для распространения программ-вымогателей. Они отправляют электронные письма, которые кажутся законными, часто имитируют доверенные организации или службы и содержат вредоносные вложения или ссылки. Нажатие на эти вложения или ссылки может вызвать загрузку и выполнение программы-вымогателя.

Вредоносные ссылки и веб-сайты:
Преступники создают вредоносные веб-сайты или внедряют вредоносный код в законные веб-сайты. Пользователи могут быть перенаправлены на эти сайты с помощью фишинговых писем, взломанной рекламы или других обманных приемов. Посещение таких сайтов может привести к автоматической загрузке и установке программ-вымогателей.

Наборы эксплойтов:
Наборы эксплойтов — это наборы инструментов, которые содержат предварительно написанный код для использования уязвимостей в программном обеспечении. Киберпреступники используют эти комплекты для атаки на устаревшее программное обеспечение в системе пользователя. Когда пользователь посещает взломанный веб-сайт или нажимает на вредоносную ссылку, набор эксплойтов выявляет и использует уязвимости, позволяя доставить и запустить программу-вымогатель.

Вредоносная реклама:
Вредоносная реклама предполагает размещение вредоносного кода в интернет-рекламе. Когда пользователи нажимают на эти объявления или посещают веб-сайты, на которых они размещены, вредоносный код может использовать уязвимости в браузере или плагинах пользователя для доставки программы-вымогателя.

Социальная инженерия:
Киберпреступники используют методы социальной инженерии, чтобы манипулировать пользователями, заставляя их совершать действия, которые приводят к заражению программами-вымогателями. Это может включать в себя обман пользователей, заставляющих их загружать и запускать вредоносные файлы или нажимать на ссылки с помощью обманных тактик, таких как ложные оповещения, предупреждения или заманчивые предложения.