H0lyGh0st Ransomware
H0lyGh0st Ransomware е тревожна заплаха, която се използва при атаки срещу МСП (малки и средни предприятия). Смята се, че операторите на заплахата са севернокорейска хакерска група, чиито дейности се проследяват като DEV-0530 от изследователите на киберсигурността в Microsoft Threat Intelligence Center (MSTIC). Според техните открития хакерската група е активна най-малко от юни 2021 г. и е успяла да зарази бизнеси от множество държави.
Заплахата H0lyGh0st (известна още като HolyGhost) е предназначена да криптира данните, открити на пробитите устройства, и да ги направи напълно неизползваеми. Всеки заключен файл ще бъде маркиран чрез добавяне на „.h0lyenc“ към оригиналното му име като ново разширение. След това заплахата ще създаде HTML файл с име „FOR_DECRYPT.html“ в заразената система. Отварянето на файла ще покаже бележка за откуп с инструкции за жертвите.
Съобщението, оставено от H0lyGh0st Ransomware, инструктира засегнатите цели как да се свържат основно с хакерите. Той споменава имейл адрес на „H0lyGh0st@mail2tor.com“, но основният канал за комуникация изглежда е специален уебсайт, хостван в мрежата TOR. Обикновено операторите на заплахата приемат плащания, направени само в биткойни, и изпълняват схема за двойно изнудване. Това означава, че освен да заключват данните на своите жертви, киберпрестъпниците събират и чувствителни данни, които ще заплашат да предоставят на обществеността, ако исканията им не бъдат изпълнени.
Пълният текст на бележката на H0lyGh0st Ransomware е:
'H0lyGh0st
Моля, прочетете този текст, за да дешифрирате всички шифровани файлове.
Не се притеснявайте, можете да върнете всичките си файлове.
Ако искате да възстановите всичките си файлове, изпратете имейл на H0lyGh0st@mail2tor.com с вашия идентификатор. Вашата лична карта е
Или инсталирайте браузъра tor и се свържете с нас с вашия идентификатор или име на фирма (ако всички компютри във вашата компания са криптирани).Нашият сайт: H0lyGh0stWebsite
Нашата услуга
След като платите, ние ще изпратим отключващ ключ с ключ за дешифриране
внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Дешифрирането на вашите файлове с помощта на трети страни може да доведе до увеличаване на цената.
Антивирусната програма може да блокира нашата програма за отключване, така че първо деактивирайте антивирусната програма и изпълнете програмата за отключване с ключ за дешифриране.'
