DoctorHelp勒索軟體

安全專家發現 DoctorHelp 是一種被歸類為勒索軟體的威脅軟體。遵循與此類惡意軟體相關的典型模式，DoctorHelp 旨在加密受感染裝置上存在的檔案。此外，該行動還伴隨著一份名為「How_to_back_files.html」的勒索信的交付。值得注意的是，惡意軟體在加密過程中將「.doctorhelp」副檔名附加到檔案名稱中。例如，最初名為“1.jpg”的檔案將轉換為“1.jpg.doctorhelp”，類似地，“2.png”將轉換為“2.png.doctorhelp”，依此類推。

在調查中，研究人員發現了 DoctorHelp 和MedusaLocker 勒索軟體家族之間的聯繫，揭示了這兩個有害實體之間的潛在聯繫和共同特徵。

DoctorHelp 勒索軟體透過劫持資料來勒索受害者

勒索信明確表明受害者擁有的關鍵文件已加密。負責的網路犯罪分子向受害者保證，這些文件雖然已加密，但仍保持完整，但已透過 RSA 和 AES 加密技術的應用進行了更改。重要的是，該說明強烈建議不要嘗試使用第三方軟體恢復文件，並聲稱任何此類嘗試都將導致不可逆轉的損壞。

為了進一步製造恐懼，威脅行為者聲稱已經存取了他們現在儲存在私人伺服器上的高度敏感的個人資料。該不祥的訊息意味著該伺服器被設定為在成功收到所要求的付款後立即銷毀。如果受害者未能按照贖金要求行事，該便條將威脅將扣押的數據公開發布給公眾或潛在買家，從而加劇廣泛曝光的風險。

為了建立可信度並證明他們在付款後恢復文件的能力，攻擊者提出了一種獨特的安排。受害者可以選擇提交 2-3 個非必要文件以供免費解密，作為網路犯罪分子復原力的證據。此外，勒索信中還提供了電子郵件地址形式的聯絡資訊（doctorhelperss@gmail.com 和 helpersdoctor@outlook.com），並建議在 protonmail.com 上建立電子郵件帳戶，以便將來進行通訊。這凸顯了攻擊者在與受害者溝通時所採用的有條不紊且經過深思熟慮的方法。

勒索信中提到了 72 小時的最後期限，並警告說，如果在此期間未能發起聯繫，將導致勒索要求升級。該訊息最後建議使用 Tor-chat 進行持續溝通，並強調犯罪分子致力於在整個談判過程中保持聯繫。

採取預防措施防範潛在的惡意軟體攻擊

使用者可以採取多種措施來保護自己免受潛在的惡意軟體攻擊。以下是一些建議措施：

• 安裝反惡意軟體：
• 使用信譽良好的反惡意軟體軟體並定期更新，以確保其能夠識別和消除最新的威脅。
• 保持作業系統和軟體更新：
• 若要修補漏洞，請定期更新作業系統、軟體和應用程式。許多惡意軟體攻擊利用過時的軟體。
• 使用防火牆：
• 啟用和設定防火牆以監視和控制傳入和傳出的網路流量，提供額外的防禦層以防止未經授權的存取。
• 謹慎使用電子郵件：
• 警惕未經請求的電子郵件，尤其是帶有附件或連結的電子郵件。避免打開來自未經檢查的來源的電子郵件，即使看似合法的電子郵件也要小心謹慎，因為它們可能是網路釣魚嘗試。
• 備份重要資料：
• 定期將重要資料備份到外部裝置或安全的雲端服務。如果發生惡意軟體攻擊，備份可確保無需支付贖金即可恢復資料。
• 使用強而獨特的密碼：
• 為所有線上帳戶建立強而複雜的密碼。避免在多個帳戶中使用相同的密碼，並考慮使用密碼管理器產生和儲存強大的、唯一的密碼的優勢。
• 教育自己：
• 了解最新的惡意軟體威脅和攻擊技術。了解潛在風險有助於使用者識別並避免可疑活動。
• 保護您的 Wi-Fi 網路：
• 使用強密碼和加密保護您的家庭或辦公室 Wi-Fi 網路。避免在路由器上使用預設密碼並定期更新路由器韌體。

透過採取這些預防措施，使用者可以大幅降低成為惡意軟體攻擊受害者的可能性，並增強其數位環境的整體安全性。

DoctorHelp 惡意軟體的受害者將收到的贖金訊息如下：

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
doctorhelperss@gmail.com
helpersdoctor@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:'