H0lyGh0st Ransomware
H0lyGh0st Ransomware er en bekymringsfull trussel som brukes i angrep mot SMB (Små og mellomstore bedrifter). Operatørene av trusselen antas å være en nordkoreansk hackergruppe hvis aktiviteter spores som DEV-0530 av cybersikkerhetsforskerne ved Microsoft Threat Intelligence Center (MSTIC). Ifølge funnene deres har hackerantrekket vært aktivt siden minst juni 2021 og har klart å infisere bedrifter fra flere land.
H0lyGh0st (aka HolyGhost)-trusselen er utformet for å kryptere dataene som finnes på de brutte enhetene og gjøre dem helt ubrukelige. Hver låst fil vil bli merket ved å legge til '.h0lyenc' til det opprinnelige navnet som en ny utvidelse. Trusselen vil da opprette en HTML-fil med navnet 'FOR_DECRYPT.html' på det infiserte systemet. Åpning av filen vil vise en løsepengenotat med instruksjoner for ofrene.
Meldingen etterlatt av H0lyGh0st Ransomware instruerer de berørte målene om hvordan de hovedsakelig skal kontakte hackerne. Den nevner en e-postadresse på 'H0lyGh0st@mail2tor.com', men hovedkommunikasjonskanalen ser ut til å være et dedikert nettsted som er vert på TOR-nettverket. Vanligvis aksepterer operatørene av trusselen kun betalinger gjort i Bitcoin og kjører en dobbel utpressingsordning. Dette betyr at i tillegg til å låse dataene til ofrene deres, samler de nettkriminelle også inn sensitive data som de vil true med å frigi til offentligheten dersom deres krav ikke blir oppfylt.
Den fullstendige teksten til H0lyGh0st Ransomwares notat er:
'H0lyGh0st
Les denne teksten for å dekryptere alle krypterte filer.
Ikke bekymre deg, du kan returnere alle filene dine.
Hvis du vil gjenopprette alle filene dine, send e-post til H0lyGh0st@mail2tor.com med ID-en din. ID-en din er
Eller installer en nettleser og kontakt oss med din id eller firmanavn (Hvis alle PC-ene i din bedrift er kryptert).Vår side: H0lyGh0stWebsite
Vår service
Etter at du har betalt, sender vi opplåsing med dekrypteringsnøkkel
Merk følgende!
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økt pris.
Antivirus kan blokkere opplåseren vår, så deaktiver antivirus først og kjør opplåsing med dekrypteringsnøkkel.'
