H0lyGh0st Ransomware
باج افزار H0lyGh0st یک تهدید نگران کننده است که در حملات علیه شرکت های کوچک و متوسط (شرکت های کوچک و متوسط) استفاده می شود. اعتقاد بر این است که اپراتورهای این تهدید یک گروه هکر کره شمالی هستند که فعالیتهای آنها با عنوان DEV-0530 توسط محققان امنیت سایبری در مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) ردیابی میشود. بر اساس یافتههای آنها، این گروه هکر حداقل از ژوئن 2021 فعال بوده و توانسته است کسبوکارهای چندین کشور را آلوده کند.
تهدید H0lyGh0st (معروف به HolyGhost) برای رمزگذاری داده های موجود در دستگاه های نقض شده و غیرقابل استفاده کردن آن ها طراحی شده است. هر فایل قفل شده با افزودن '.h0lyenc' به نام اصلی خود به عنوان پسوند جدید علامت گذاری می شود. سپس تهدید یک فایل HTML به نام "FOR_DECRYPT.html" در سیستم آلوده ایجاد می کند. باز کردن فایل یک یادداشت باج با دستورالعمل برای قربانیان نمایش داده می شود.
پیام ارسال شده توسط باجافزار H0lyGh0st به اهداف آسیبدیده دستور میدهد که عمدتاً چگونه با هکرها تماس بگیرند. یک آدرس ایمیل در 'H0lyGh0st@mail2tor.com' ذکر شده است، اما به نظر می رسد کانال اصلی ارتباطی یک وب سایت اختصاصی است که در شبکه TOR میزبانی شده است. به طور معمول، اپراتورهای تهدید فقط پرداختهای انجامشده با بیتکوین را میپذیرند و یک طرح اخاذی مضاعف را اجرا میکنند. این بدان معناست که مجرمان سایبری علاوه بر قفل کردن دادههای قربانیان خود، دادههای حساسی را نیز جمعآوری میکنند که تهدید میکنند در صورت برآورده نشدن خواستههایشان، آنها را در اختیار عموم قرار خواهند داد.
متن کامل یادداشت باج افزار H0lyGh0st به شرح زیر است:
'H0lyGh0st
لطفا این متن را بخوانید تا همه فایل های رمزگذاری شده را رمزگشایی کنید.
نگران نباشید، می توانید تمام فایل های خود را برگردانید.
اگر می خواهید همه فایل های خود را بازیابی کنید، با شناسه خود به H0lyGh0st@mail2tor.com ایمیل بفرستید. شناسنامه شماست
یا مرورگر tor را نصب کنید و با شناسه یا نام شرکت خود با ما تماس بگیرید (اگر همه رایانه های موجود در شرکت شما رمزگذاری شده باشند).سایت ما: H0lyGh0stWebsite
خدمات ما
پس از پرداخت، ما بازکننده با کلید رمزگشایی ارسال می کنیم
توجه!
نام فایل های رمزگذاری شده را تغییر ندهید.
سعی نکنید اطلاعات خود را با استفاده از نرم افزار شخص ثالث رمزگشایی کنید، ممکن است باعث از دست رفتن دائمی داده ها شود.
رمزگشایی فایل های شما با کمک شخص ثالث ممکن است باعث افزایش قیمت شود.
آنتی ویروس ممکن است بازکننده ما را مسدود کند، بنابراین ابتدا آنتی ویروس را غیرفعال کنید و با کلید رمزگشایی آنلاک را اجرا کنید.