DoctorHelp Ransomware

Els experts en seguretat han descobert que DoctorHelp és un tipus de programari amenaçador classificat com a programari ransomware. Seguint el patró típic associat amb aquest programari maliciós, DoctorHelp està dissenyat per xifrar els fitxers presents als dispositius compromesos. A més, acompanya aquesta acció amb el lliurament d'una nota de rescat titulada "How_to_back_files.html". En particular, el programari maliciós afegeix l'extensió ".doctorhelp" als noms de fitxer durant el procés de xifratge. A tall d'il·lustració, un fitxer anomenat originalment "1.jpg" es transformaria en "1.jpg.doctorhelp", i de la mateixa manera, "2.png" es convertiria en "2.png.doctorhelp", i així successivament.

En la seva investigació, els investigadors han identificat enllaços entre DoctorHelp i la família MedusaLocker Ransomware , donant llum a possibles connexions i característiques compartides entre les dues entitats nocives.

El ransomware DoctorHelp extorsiona les seves víctimes prenent les dades com a ostatges

La nota de rescat comunica explícitament que els fitxers crucials propietat de la víctima han estat sotmesos a xifratge. Els ciberdelinqüents responsables asseguren a la víctima que els fitxers, mentre estan xifrats, romanen intactes però han patit alteracions mitjançant l'aplicació de tècniques de xifratge RSA i AES. És important destacar que la nota desaconsella fermament no intentar la restauració de fitxers amb programari de tercers, afirmant que qualsevol esforç d'aquest tipus comportarà una corrupció irreversible.

En un altre intent d'inculcar la por, els actors de l'amenaça afirmen haver accedit a dades personals i molt sensibles que ara estan emmagatzemant en un servidor privat. El missatge ominós implica que aquest servidor està configurat per a la destrucció immediata després de la recepció correcta del pagament exigit. Si la víctima no actua d'acord amb les demandes de rescat, la nota amenaça amb la divulgació pública de les dades confiscades, ja sigui al públic en general o als compradors potencials, intensificant el risc d'exposició generalitzada.

Per establir credibilitat i demostrar la seva capacitat per restaurar fitxers després del pagament, els atacants proposen un acord únic. La víctima té l'opció d'enviar 2 o 3 fitxers no essencials per al desxifrat gratuït com a prova de les capacitats restauratives dels ciberdelinqüents. A més, la nota de rescat proporciona dades de contacte en forma d'adreces de correu electrònic (doctorhelperss@gmail.com i helpersdoctor@outlook.com) i recomana la creació d'un compte de correu electrònic a protonmail.com per a qualsevol correspondència futura. Això subratlla l'enfocament metòdic i calculat emprat pels atacants en la seva comunicació amb la víctima.

A la nota de rescat s'esmenta un termini de 72 hores, acompanyat d'una advertència que no iniciar el contacte dins d'aquest període comportarà una escalada de la demanda de rescat. El missatge s'acaba amb una recomanació d'utilitzar Tor-chat per a una comunicació contínua, subratllant la dedicació dels delinqüents a mantenir-se en contacte durant tot el procés de negociació.

Preneu precaucions contra possibles atacs de programari maliciós

Els usuaris poden prendre diverses mesures per protegir-se dels possibles atacs de programari maliciós. Aquestes són algunes de les mesures recomanades:

• Instal·leu programari anti-malware :
• Utilitzeu programari anti-malware de bona reputació i mantingueu-lo actualitzat regularment per assegurar-vos que pugui identificar i eliminar les amenaces més recents.
• Mantenir els sistemes operatius i el programari actualitzats :
• Per corregir vulnerabilitats, actualitzar sistemes operatius, programari i aplicacions amb regularitat. Molts atacs de programari maliciós exploten programari obsolet.
• Utilitzeu un tallafoc :
• Habiliteu i configureu tallafocs per supervisar i controlar el trànsit de xarxa entrant i sortint, proporcionant una capa addicional de defensa contra l'accés no autoritzat.
• Aneu amb compte amb el correu electrònic :
• Aneu amb compte amb els correus electrònics no sol·licitats, especialment els que tenen fitxers adjunts o enllaços. Eviteu obrir correus electrònics de fonts no verificades i aneu amb compte fins i tot amb correus electrònics aparentment legítims, ja que poden ser intents de pesca.
• Còpia de seguretat de dades importants :
• Feu una còpia de seguretat periòdica de les dades essencials en un dispositiu extern o en un servei al núvol segur. En cas d'atac de programari maliciós, tenir còpies de seguretat garanteix que les dades es puguin restaurar sense pagar un rescat.
• Utilitzeu contrasenyes úniques i fortes :
• Creeu contrasenyes fortes i complexes per a tots els comptes en línia. Eviteu utilitzar contrasenyes idèntiques a diversos comptes i penseu en els avantatges d'utilitzar un gestor de contrasenyes per generar i emmagatzemar contrasenyes úniques i fortes.
• Educa't :
• Manteniu-vos informat sobre les últimes amenaces de programari maliciós i tècniques d'atac. Ser conscient dels riscos potencials ajuda els usuaris a reconèixer i evitar activitats sospitoses.
• Assegureu la vostra xarxa Wi-Fi :
• Protegiu la vostra xarxa Wi-Fi de casa o de l'oficina amb una contrasenya segura i un xifratge. Eviteu utilitzar contrasenyes predeterminades als encaminadors i actualitzeu regularment el microprogramari de l'encaminador.

En adoptar aquestes precaucions, els usuaris poden reduir significativament la probabilitat de ser víctimes d'atacs de programari maliciós i millorar la seguretat global dels seus entorns digitals.

La nota de rescat que rebran les víctimes del programa maliciós DoctorHelp és la següent:

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
doctorhelperss@gmail.com
helpersdoctor@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:'