基于 MedusaLocker 的 DoctorHelp 勒索软件
我们的团队发现了 DoctorHelp - 一款被归类为勒索软件的恶意软件,属于 MedusaLocker 家族。 DoctorHelp 的主要目标是加密文件。
此外,DoctorHelp 还会生成标题为“How_to_back_files.html”的勒索字条,并将“.doctorhelp”扩展名附加到文件名中。例如,它将“1.jpg”更改为“1.jpg.doctorhelp”,将“2.png”更改为“2.png.doctorhelp”,等等。勒索信明确表明受害者拥有的重要文件已被加密。网络犯罪分子向受害者保证文件保持完整,但已使用 RSA 和 AES 加密进行了更改。该说明强烈建议不要尝试使用第三方软件恢复文件,声称此类努力将导致不可逆转的损坏。
威胁行为者声称他们已经获得了当前存储在私人服务器上的高度机密的个人数据。据称,该服务器被设置为在收到付款后立即销毁。如果没有付款,该票据可能会向公众或潜在买家披露捕获的数据,从而构成迫在眉睫的公开曝光风险。
此外,攻击者还提出了一种安排,其中受害者可以发送 2-3 个非必要文件进行免费解密,以证明他们有能力在付费后恢复文件。勒索信中提供了联系方式(doctorhelperss@gmail.com 和 helpersdoctor@outlook.com 电子邮件地址),并建议受害者在 protonmail.com 上建立电子邮件帐户以进行通信。
规定了 72 小时的期限,并附有警告,如果在此期限内未能发起联系将导致赎金要求增加。该信息最后建议使用 Tor-chat 进行持续沟通,强调犯罪分子承诺在整个谈判过程中保持联系。
DoctorHelp 勒索信承诺解密一些文件
DoctorHelp 勒索信全文如下:
YOUR PERSONAL ID:
YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.互联网上没有可用的软件可以帮助您。我们是唯一能够
解决你的问题。我们收集了高度机密/个人数据。这些数据当前存储在
私人服务器。您付款后,该服务器将立即被销毁。
如果您决定不付款,我们将向公众或经销商发布您的数据。
因此,您可以预期您的数据将在不久的将来公开。我们只求金钱,我们的目标不是损害您的声誉或阻止您
您的企业免于运行。您可以向我们发送2-3个不重要的文件,我们将免费解密
以证明我们能够归还您的文件。请联系我们了解价格并获取解密软件。
电子邮件:
doctorhelperss@gmail.com
helpersdoctor@outlook.com
要联系我们,请在网站上创建一个新的免费电子邮件帐户:protonmail.com
如果您不在 72 小时内联系我们,价格将会更高。Tor-chat 始终保持联系:
犯罪分子如何在线传播勒索软件?
犯罪分子利用漏洞和人类行为,使用各种方法在线传播勒索软件。以下是网络犯罪分子传播勒索软件所采用的一些常见策略:
网络钓鱼电子邮件:
网络犯罪分子经常使用网络钓鱼电子邮件来分发勒索软件。他们发送看似合法的电子邮件,通常模仿受信任的实体或服务,并包含恶意附件或链接。单击这些附件或链接可以触发勒索软件的下载和执行。
恶意链接和网站:
犯罪分子创建恶意网站或将恶意代码注入合法网站。用户可能会通过网络钓鱼电子邮件、受损广告或其他欺骗策略被引导至这些网站。访问此类网站可能会导致勒索软件的自动下载和安装。
漏洞利用套件:
漏洞利用工具包是包含预先编写的代码以利用软件中的漏洞的工具包。网络犯罪分子使用这些套件来攻击用户系统上的过时软件。当用户访问受感染的网站或单击恶意链接时,漏洞利用工具包会识别并利用漏洞,从而允许勒索软件传播和执行。
恶意广告:
恶意广告涉及在在线广告中放置恶意代码。当用户点击这些广告或访问托管这些广告的网站时,恶意代码可以利用用户浏览器或插件中的漏洞来传播勒索软件。
社会工程学:
网络犯罪分子利用社会工程技术操纵用户采取导致勒索软件感染的行动。这可能涉及欺骗用户下载和执行恶意文件或通过欺骗性策略点击链接,例如虚假警报、警告或诱人优惠。
