基於 MedusaLocker 的 DoctorHelp 勒索軟體

我們的團隊發現了 DoctorHelp - 一款被歸類為勒索軟體的惡意軟體，屬於 MedusaLocker 家族。 DoctorHelp 的主要目標是加密檔案。

此外，DoctorHelp 也會產生標題為「How_to_back_files.html」的勒索字條，並將「.doctorhelp」副檔名附加到檔案名稱中。例如，它將“1.jpg”更改為“1.jpg.doctorhelp”，將“2.png”更改為“2.png.doctorhelp”，等等。勒索信明確表明受害者擁有的重要文件已加密。網路犯罪分子向受害者保證文件保持完整，但已使用 RSA 和 AES 加密進行了更改。該說明強烈建議不要嘗試使用第三方軟體恢復文件，聲稱此類努力將導致不可逆轉的損壞。

威脅行為者聲稱他們已經獲得了目前儲存在私人伺服器上的高度機密的個人資料。據稱，該伺服器被設定為在收到付款後立即銷毀。如果沒有付款，該票據可能會向公眾或潛在買家披露捕獲的數據，從而構成迫在眉睫的公開曝光風險。

此外，攻擊者還提出了一種安排，受害者可以發送 2-3 個非必要文件進行免費解密，以證明他們有能力在付費後恢復文件。勒索信中提供了聯絡方式（doctorhelperss@gmail.com 和 helpersdoctor@outlook.com 電子郵件地址），並建議受害者在 protonmail.com 上建立電子郵件帳戶以進行通訊。

規定了 72 小時的期限，並附有警告，如果在此期限內未能發起聯繫將導致贖金要求增加。該訊息最後建議使用 Tor-chat 進行持續溝通，強調犯罪分子承諾在整個談判過程中保持聯繫。

DoctorHelp 勒索信承諾解密一些文件

DoctorHelp 勒索信全文如下：

YOUR PERSONAL ID:

YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

網路上沒有可用的軟體可以幫助您。我們是唯一能夠
解決你的問題。

我們收集了高度機密/個人資料。這些數據目前儲存在
私人伺服器。您付款後，該伺服器將立即被銷毀。
如果您決定不付款，我們將向公眾或經銷商發布您的資料。
因此，您可以預期您的數據將在不久的將來公開。

我們只求金錢，我們的目標不是損害您的聲譽或阻止您
您的企業免於運作。

您可以向我們發送2-3個不重要的文件，我們將免費解密
以證明我們能夠歸還您的文件。

請聯絡我們以了解價格並取得解密軟體。

電子郵件：
doctorhelperss@gmail.com
helpersdoctor@outlook.com
若要聯絡我們，請在網站上建立一個新的免費電子郵件帳戶：protonmail.com
如果您不在 72 小時內聯絡我們，價格將會更高。

Tor-chat 始終保持聯繫：

犯罪者如何在線上傳播勒索軟體？

犯罪分子利用漏洞和人類行為，使用各種方法在線上傳播勒索軟體。以下是網路犯罪者傳播勒索軟體所採用的一些常見策略：

網路釣魚電子郵件：
網路犯罪分子經常使用網路釣魚電子郵件來分發勒索軟體。他們發送看似合法的電子郵件，通常模仿受信任的實體或服務，並包含惡意附件或連結。點擊這些附件或連結可以觸發勒索軟體的下載和執行。

惡意連結和網站：
犯罪分子創建惡意網站或將惡意程式碼注入合法網站。使用者可能會透過網路釣魚電子郵件、受損廣告或其他欺騙策略被引導至這些網站。造訪此類網站可能會導致勒索軟體的自動下載和安裝。

漏洞利用套件：
漏洞利用工具包是包含預先編寫的程式碼以利用軟體中的漏洞的工具包。網路犯罪分子使用這些套件來攻擊使用者係統上的過時軟體。當使用者造訪受感染的網站或點擊惡意連結時，漏洞利用工具包會識別並利用漏洞，從而允許勒索軟體傳播和執行。

惡意廣告：
惡意廣告涉及在線上廣告中放置惡意程式碼。當使用者點擊這些廣告或造訪託管這些廣告的網站時，惡意程式碼可以利用使用者瀏覽器或外掛程式中的漏洞來傳播勒索軟體。

社會工程學：
網路犯罪分子利用社會工程技術操縱使用者採取導致勒索軟體感染的行動。這可能涉及欺騙用戶下載和執行惡意文件或透過欺騙性策略點擊鏈接，例如虛假警報、警告或誘人優惠。