H0lyGh0st Ransomware

תוכנת הכופר H0lyGh0st היא איום מדאיג שנמצא בשימוש בהתקפות נגד חברות קטנות ובינוניות (חברות קטנות ובינוניות). על פי ההערכות, מפעילי האיום הם קבוצת האקרים צפון קוריאנית שפעילויותיה עוקבות כ-DEV-0530 על ידי חוקרי אבטחת הסייבר במרכז האיומים של מיקרוסופט (MSTIC). לפי הממצאים שלהם, תלבושת ההאקרים פעילה לפחות מאז יוני 2021 והצליחה להדביק עסקים ממספר מדינות.

האיום H0lyGh0st (המכונה HolyGhost) נועד להצפין את הנתונים שנמצאו במכשירים שנפרצו ולהפוך אותם לבלתי שמישים לחלוטין. כל קובץ נעול יסומן באמצעות הוספה של '.h0lyenc' לשם המקורי שלו כתוספת חדשה. לאחר מכן האיום יצור קובץ HTML בשם 'FOR_DECRYPT.html' במערכת הנגועה. פתיחת התיק תציג פתק כופר עם הנחיות לקורבנות.

ההודעה שהשאירה H0lyGh0st Ransomware מורה למטרות המושפעות כיצד ליצור קשר עם ההאקרים בעיקר. הוא מזכיר כתובת דוא"ל בכתובת 'H0lyGh0st@mail2tor.com', אך נראה כי ערוץ התקשורת הראשי הוא אתר אינטרנט ייעודי המתארח ברשת TOR. בדרך כלל, מפעילי האיום מקבלים תשלומים המבוצעים בביטקוין בלבד ומנהלים תוכנית סחיטה כפולה. המשמעות היא שמלבד נעילת הנתונים של קורבנותיהם, פושעי הסייבר אוספים גם נתונים רגישים שהם יאיימו לשחרר לציבור אם דרישותיהם לא ייענו.

הטקסט המלא של ההערה של H0lyGh0st Ransomware הוא:

'H0lyGh0st

אנא קרא את הטקסט הזה כדי לפענח את כל הקבצים המוצפנים.

אל תדאג, אתה יכול להחזיר את כל הקבצים שלך.

אם אתה רוצה לשחזר את כל הקבצים שלך, שלח דואר אל H0lyGh0st@mail2tor.com עם המזהה שלך. תעודת הזהות שלך היא
או התקן דפדפן Tor וצור איתנו קשר עם המזהה או שם החברה שלך (אם כל המחשבים בחברה שלך מוצפנים).

האתר שלנו: H0lyGh0stWebsite

השירות שלנו

לאחר שתשלם, אנו נשלח מנעול עם מפתח פענוח

תשומת הלב!

אל תשנה את שמם של קבצים מוצפנים.

אל תנסה לפענח את הנתונים שלך באמצעות תוכנת צד שלישי, זה עלול לגרום לאובדן נתונים קבוע.

פענוח הקבצים שלך בעזרת צדדים שלישיים עלול לגרום לעלייה במחיר.

אנטי וירוס עשוי לחסום את פתיחת הנעילה שלנו, אז השבת תחילה את האנטי וירוס והפעל את ביטול הנעילה עם מפתח פענוח.'