H0lyGh0st Ransomware

H0lyGh0st Ransomware to niepokojące zagrożenie wykorzystywane w atakach na MŚP (małe i średnie przedsiębiorstwa). Uważa się, że operatorami zagrożenia jest północnokoreańska grupa hakerów, której działania są śledzone jako DEV-0530 przez badaczy cyberbezpieczeństwa z Microsoft Threat Intelligence Center (MSTIC). Według ich ustaleń, organizacja hakerska działa od co najmniej czerwca 2021 r. i zdołała zainfekować firmy z wielu krajów.

Zagrożenie H0lyGh0st (aka HolyGhost) ma na celu zaszyfrowanie danych znalezionych na złamanych urządzeniach i uczynienie ich całkowicie bezużytecznymi. Każdy zablokowany plik zostanie oznaczony przez dodanie „.h0lyenc” do jego oryginalnej nazwy jako nowe rozszerzenie. Zagrożenie utworzy następnie plik HTML o nazwie „FOR_DECRYPT.html” w zainfekowanym systemie. Otwarcie pliku spowoduje wyświetlenie żądania okupu z instrukcjami dla ofiar.

Wiadomość pozostawiona przez H0lyGh0st Ransomware instruuje zaatakowane cele, w jaki sposób skontaktować się głównie z hakerami. Wspomina o adresie e-mail „H0lyGh0st@mail2tor.com”, ale głównym kanałem komunikacji wydaje się być dedykowana strona internetowa hostowana w sieci TOR. Zazwyczaj operatorzy zagrożenia akceptują płatności dokonywane wyłącznie w Bitcoin i prowadzą schemat podwójnego wymuszenia. Oznacza to, że oprócz blokowania danych swoich ofiar, cyberprzestępcy zbierają również wrażliwe dane, które grożą ujawnieniem opinii publicznej, jeśli ich żądania nie zostaną spełnione.

Pełny tekst notatki H0lyGh0st Ransomware to:

'H0lyGh0st

Przeczytaj ten tekst, aby odszyfrować wszystkie zaszyfrowane pliki.

Nie martw się, możesz zwrócić wszystkie swoje pliki.

Jeśli chcesz przywrócić wszystkie swoje pliki, wyślij e-mail na adres H0lyGh0st@mail2tor.com ze swoim identyfikatorem. Twój identyfikator to
Lub zainstaluj przeglądarkę tor i skontaktuj się z nami, podając swój identyfikator lub nazwę firmy (jeśli wszystkie komputery w Twojej firmie są zaszyfrowane).

Nasza strona : H0lyGh0stWebsite

Nasze usługi

Po zapłaceniu wyślemy odblokowanie z kluczem deszyfrującym

Uwaga!

Nie zmieniaj nazw zaszyfrowanych plików.

Nie próbuj odszyfrowywać danych za pomocą oprogramowania innych firm, może to spowodować trwałą utratę danych.

Odszyfrowanie Twoich plików przy pomocy osób trzecich może spowodować wzrost ceny.

Program antywirusowy może blokować nasz program odblokowujący, więc najpierw wyłącz program antywirusowy i uruchom program odblokowujący za pomocą klucza deszyfrującego.'