DoctorHelp Ransomware

Los expertos en seguridad han descubierto que DoctorHelp es un tipo de software amenazante clasificado como ransomware. Siguiendo el patrón típico asociado con este tipo de malware, DoctorHelp está diseñado para cifrar archivos presentes en los dispositivos comprometidos. Además, acompaña esta acción con la entrega de una nota de rescate titulada 'How_to_back_files.html'. En particular, el malware añade la extensión '.doctorhelp' a los nombres de archivos durante el proceso de cifrado. A modo de ilustración, un archivo originalmente llamado '1.jpg' se transformaría en '1.jpg.doctorhelp' y, de manera similar, '2.png' se convertiría en '2.png.doctorhelp', y así sucesivamente.

En su investigación, los investigadores identificaron vínculos entre DoctorHelp y la familia MedusaLocker Ransomware , arrojando luz sobre posibles conexiones y características compartidas entre las dos entidades dañinas.

El ransomware DoctorHelp extorsiona a sus víctimas tomando como rehenes los datos

La nota de rescate comunica explícitamente que los archivos cruciales propiedad de la víctima han sido cifrados. Los ciberdelincuentes responsables aseguran a la víctima que los archivos, aunque cifrados, permanecen intactos pero han sufrido alteraciones mediante la aplicación de técnicas de cifrado RSA y AES. Es importante destacar que la nota desaconseja encarecidamente intentar restaurar archivos utilizando software de terceros, afirmando que tal esfuerzo conducirá a una corrupción irreversible.

En un nuevo intento de infundir miedo, los actores de amenazas afirman haber accedido a datos personales y altamente confidenciales que ahora están almacenando en un servidor privado. El siniestro mensaje implica que este servidor está configurado para su destrucción inmediata tras la recepción exitosa del pago exigido. Si la víctima no actúa de acuerdo con las demandas de rescate, la nota amenaza con la divulgación pública de los datos incautados, ya sea al público en general o a compradores potenciales, intensificando el riesgo de exposición generalizada.

Para establecer credibilidad y demostrar su capacidad para restaurar archivos mediante pago, los atacantes proponen un acuerdo único. La víctima tiene la opción de enviar 2 o 3 archivos no esenciales para descifrarlos de forma gratuita como prueba de las capacidades de restauración de los ciberdelincuentes. Además, la nota de rescate proporciona datos de contacto en forma de direcciones de correo electrónico (doctorhelperss@gmail.com y helpersdoctor@outlook.com) y recomienda la creación de una cuenta de correo electrónico en protonmail.com para cualquier correspondencia futura. Esto subraya el enfoque metódico y calculado empleado por los atacantes en su comunicación con la víctima.

En la nota de rescate se menciona un plazo de 72 horas, acompañado de una advertencia de que si no se inicia el contacto dentro de este período, se producirá una escalada en la demanda de rescate. El mensaje concluye con una recomendación de utilizar Tor-chat para una comunicación continua, lo que subraya la dedicación de los delincuentes a mantenerse en contacto durante todo el proceso de negociación.

Tome precauciones contra posibles ataques de malware

Los usuarios pueden tomar varias medidas para protegerse contra posibles ataques de malware. Aquí algunas medidas recomendadas:

• Instalar software antimalware :
• Utilice software antimalware confiable y manténgalo actualizado periódicamente para asegurarse de que pueda identificar y eliminar las amenazas más recientes.
• Mantenga los sistemas operativos y el software actualizados :
• Para parchear vulnerabilidades, actualice los sistemas operativos, el software y las aplicaciones con regularidad. Muchos ataques de malware explotan software obsoleto.
• Utilice un cortafuegos :
• Habilite y configure firewalls para monitorear y controlar el tráfico de red entrante y saliente, proporcionando una capa adicional de defensa contra el acceso no autorizado.
• Tenga precaución con el correo electrónico :
• Tenga cuidado con los correos electrónicos no solicitados, especialmente aquellos con archivos adjuntos o enlaces. Evite abrir correos electrónicos de fuentes no controladas y tenga cuidado incluso con correos electrónicos aparentemente legítimos, ya que pueden ser intentos de phishing.
• Copia de seguridad de datos importantes :
• Haga copias de seguridad periódicas de los datos esenciales en un dispositivo externo o en un servicio seguro en la nube. En caso de un ataque de malware, tener copias de seguridad garantiza que los datos se puedan restaurar sin pagar un rescate.
• Utilice contraseñas seguras y únicas :
• Cree contraseñas seguras y complejas para todas las cuentas en línea. Evite el uso de contraseñas idénticas en varias cuentas y piense en las ventajas de utilizar un administrador de contraseñas para generar y almacenar contraseñas seguras y únicas.
• Edúcate tu mismo :
• Manténgase informado sobre las últimas amenazas de malware y técnicas de ataque. Ser consciente de los riesgos potenciales ayuda a los usuarios a reconocer y evitar actividades sospechosas.
• Asegure su red Wi-Fi :
• Proteja la red Wi-Fi de su hogar u oficina con una contraseña y cifrado seguros. Evite el uso de contraseñas predeterminadas en los enrutadores y actualice periódicamente el firmware del enrutador.

Al adoptar estas precauciones, los usuarios pueden reducir significativamente la probabilidad de ser víctimas de ataques de malware y mejorar la seguridad general de sus entornos digitales.

La nota de rescate que recibirán las víctimas del malware DoctorHelp es la siguiente:

'YOUR PERSONAL ID:

/!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
doctorhelperss@gmail.com
helpersdoctor@outlook.com

To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

Tor-chat to always be in touch:'