DoctorHelp Ransomware

Eksperci ds. bezpieczeństwa odkryli, że DoctorHelp to rodzaj groźnego oprogramowania sklasyfikowanego jako oprogramowanie ransomware. Zgodnie z typowym schematem związanym z tego typu złośliwym oprogramowaniem, DoctorHelp ma na celu szyfrowanie plików znajdujących się na zaatakowanych urządzeniach. Co więcej, towarzyszy temu działaniu dostarczając notatkę z żądaniem okupu zatytułowaną „How_to_back_files.html”. Warto zauważyć, że podczas procesu szyfrowania szkodliwe oprogramowanie dodaje do nazw plików rozszerzenie „.doctorhelp”. Przykładowo, plik pierwotnie nazwany „1.jpg” zostanie przekształcony na „1.jpg.doctorhelp” i podobnie plik „2.png” zmieni się na „2.png.doctorhelp” i tak dalej.

W trakcie swojego dochodzenia badacze zidentyfikowali powiązania między DoctorHelp a rodziną MedusaLocker Ransomware , rzucając światło na potencjalne powiązania i wspólne cechy obu szkodliwych podmiotów.

Ransomware DoctorHelp wymusza swoje ofiary, biorąc zakładników danych

Notatka z żądaniem okupu wyraźnie informuje, że kluczowe pliki należące do ofiary zostały zaszyfrowane. Odpowiedzialni cyberprzestępcy zapewniają ofiarę, że zaszyfrowane pliki pozostają nienaruszone, ale uległy zmianom w wyniku zastosowania technik szyfrowania RSA i AES. Co ważne, w notatce zdecydowanie odradza się próby przywracania plików przy użyciu oprogramowania stron trzecich, twierdząc, że wszelkie takie próby prowadzą do nieodwracalnego uszkodzenia.

W ramach kolejnej próby wzbudzenia strachu przestępcy twierdzą, że uzyskali dostęp do bardzo wrażliwych i osobistych danych, które obecnie przechowują na prywatnym serwerze. Złowieszcza wiadomość sugeruje, że serwer ten zostanie natychmiast zniszczony po pomyślnym otrzymaniu żądanej płatności. Jeżeli ofiara nie zastosuje się do żądań okupu, notatka grozi publicznym ujawnieniem przechwyconych danych ogółowi społeczeństwa lub potencjalnym nabywcom, co zwiększa ryzyko powszechnego ujawnienia.

Aby zyskać wiarygodność i wykazać zdolność do przywracania plików po dokonaniu płatności, napastnicy proponują unikalne rozwiązanie. Ofiara ma możliwość przesłania 2-3 nieistotnych plików do bezpłatnego odszyfrowania jako dowód zdolności naprawczych cyberprzestępców. Ponadto żądanie okupu zawiera dane kontaktowe w postaci adresów e-mail (doctorhelperss@gmail.com i helpersdoctor@outlook.com) oraz zaleca utworzenie konta e-mail na protonmail.com na potrzeby przyszłej korespondencji. Podkreśla to metodyczne i wyrachowane podejście stosowane przez napastników w komunikacji z ofiarą.

W żądaniu okupu wskazano 72-godzinny termin, któremu towarzyszy ostrzeżenie, że zaniedbanie zainicjowania kontaktu w tym okresie doprowadzi do eskalacji żądania okupu. Wiadomość kończy się zaleceniem używania Tor-chata do ciągłej komunikacji, co podkreśla zaangażowanie przestępców w utrzymywanie kontaktu przez cały czas trwania negocjacji.

Zachowaj środki ostrożności przed potencjalnymi atakami złośliwego oprogramowania

Użytkownicy mogą podjąć kilka środków, aby zabezpieczyć się przed potencjalnymi atakami złośliwego oprogramowania. Oto kilka zalecanych środków:

• • Zainstaluj oprogramowanie chroniące przed złośliwym oprogramowaniem :

• • Korzystaj ze sprawdzonego oprogramowania chroniącego przed złośliwym oprogramowaniem i regularnie je aktualizuj, aby mieć pewność, że będzie w stanie identyfikować i eliminować najnowsze zagrożenia.

• • Aktualizuj systemy operacyjne i oprogramowanie :

• • Aby łatać luki, regularnie aktualizuj systemy operacyjne, oprogramowanie i aplikacje. Wiele ataków złośliwego oprogramowania wykorzystuje nieaktualne oprogramowanie.

• • Użyj zapory sieciowej :

• • Włącz i skonfiguruj zapory ogniowe, aby monitorować i kontrolować przychodzący i wychodzący ruch sieciowy, zapewniając dodatkową warstwę ochrony przed nieautoryzowanym dostępem.

• • Zachowaj ostrożność, korzystając z poczty e-mail :

• • Uważaj na niechciane e-maile, szczególnie te zawierające załączniki lub linki. Unikaj otwierania e-maili z niesprawdzonych źródeł i zachowaj ostrożność nawet w przypadku pozornie legalnych e-maili, ponieważ mogą one stanowić próbę wyłudzenia informacji.

• • Kopia zapasowa ważnych danych :

• • Regularnie twórz kopie zapasowe niezbędnych danych na urządzeniu zewnętrznym lub w bezpiecznej usłudze w chmurze. W przypadku ataku złośliwego oprogramowania posiadanie kopii zapasowych gwarantuje przywrócenie danych bez płacenia okupu.

• • Używaj silnych, unikalnych haseł :

• • Twórz silne, złożone hasła do wszystkich kont online. Unikaj używania identycznych haseł na wielu kontach i pomyśl o zaletach korzystania z menedżera haseł do generowania i przechowywania silnych, unikalnych haseł.

• • Kształcić się :

• • Bądź na bieżąco z najnowszymi zagrożeniami związanymi ze złośliwym oprogramowaniem i technikami ataków. Świadomość potencjalnych zagrożeń pomaga użytkownikom rozpoznawać i unikać podejrzanych działań.

• • Zabezpiecz swoją sieć Wi-Fi :

• • Chroń swoją domową lub biurową sieć Wi-Fi za pomocą silnego hasła i szyfrowania. Unikaj używania domyślnych haseł na routerach i regularnie aktualizuj oprogramowanie routera.

Stosując te środki ostrożności, użytkownicy mogą znacznie zmniejszyć prawdopodobieństwo stania się ofiarą ataków złośliwego oprogramowania i zwiększyć ogólne bezpieczeństwo swoich środowisk cyfrowych.

Żądanie okupu, które otrzymają ofiary złośliwego oprogramowania DoctorHelp, jest następujące:

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
doctorhelperss@gmail.com
helpersdoctor@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:'