H0lyGh0st Ransomware
Izsiljevalska programska oprema H0lyGh0st je zaskrbljujoča grožnja, ki se uporablja za napade na MSP (mala in srednje velika podjetja). Operaterji grožnje naj bi bila severnokorejska hekerska skupina, katere dejavnosti raziskovalci kibernetske varnosti v Microsoftovem centru za obveščanje o grožnjah (MSTIC) spremljajo kot DEV-0530. Po njihovih ugotovitvah je hekerska skupina aktivna vsaj od junija 2021 in ji je uspelo okužiti podjetja iz več držav.
Grožnja H0lyGh0st (aka HolyGhost) je zasnovana tako, da šifrira podatke, najdene na napravah, v katerih je prišlo do vdora, in jih naredi popolnoma neuporabne. Vsaka zaklenjena datoteka bo označena z dodatkom '.h0lyenc' izvirnemu imenu kot nova končnica. Grožnja bo nato v okuženem sistemu ustvarila datoteko HTML z imenom 'FOR_DECRYPT.html'. Ko odprete datoteko, se prikaže obvestilo o odkupnini z navodili za žrtve.
Sporočilo, ki ga je pustila izsiljevalska programska oprema H0lyGh0st, prizadetim tarčam daje navodila, kako naj stopijo v stik predvsem s hekerji. Omenja e-poštni naslov na 'H0lyGh0st@mail2tor.com', vendar se zdi, da je glavni komunikacijski kanal namensko spletno mesto, ki gostuje v omrežju TOR. Običajno operaterji grožnje sprejemajo plačila samo v bitcoinih in vodijo shemo dvojnega izsiljevanja. To pomeni, da kiberkriminalci poleg zaklepanja podatkov svojih žrtev zbirajo tudi občutljive podatke, ki jih bodo zagrozili, da bodo objavili javnosti, če njihove zahteve ne bodo izpolnjene.
Celotno besedilo opombe H0lyGh0st Ransomware je:
'H0lyGh0st
Preberite to besedilo, da dešifrirate vse šifrirane datoteke.
Ne skrbite, vrnete lahko vse svoje datoteke.
Če želite obnoviti vse svoje datoteke, pošljite e-pošto na H0lyGh0st@mail2tor.com s svojim ID-jem. Vaša osebna izkaznica je
Ali pa namestite brskalnik tor in nas kontaktirajte s svojim ID-jem ali imenom podjetja (če so vsi računalniki v vašem podjetju šifrirani).Naše spletno mesto: H0lyGh0stWebsite
Naše storitve
Ko plačate, vam bomo poslali program za odklepanje s ključem za dešifriranje
Pozor!
Ne preimenujte šifriranih datotek.
Ne poskušajte dešifrirati svojih podatkov s programsko opremo tretjih oseb, lahko povzroči trajno izgubo podatkov.
Dešifriranje vaših datotek s pomočjo tretjih oseb lahko povzroči zvišanje cene.
Antivirus lahko blokira naš program za odklepanje, zato najprej onemogočite protivirusni program in zaženite program za odklepanje s ključem za dešifriranje.'
