H0lyGh0st Ransomware vinculado a Corea del Norte

Microsoft Threat Intelligence informó que rastreó a un actor de amenazas vinculado con una nueva variedad de ransomware llamada H0lyGh0st ransomware. Según los investigadores de Microsoft, el actor de amenazas tiene su sede en Corea del Norte.

El ransomware H0lyGh0st en sí utiliza doble extorsión, amenazando con filtrar archivos confidenciales exfiltrados sin pagar rescate. Los archivos cifrados incluyen las extensiones más populares e incluyen medios, documentos y tipos de archivos de archivo, así como bases de datos. Una vez cifrados, los archivos codificados por el ransomware H0lyGh0st reciben la extensión ".h0lyenc", reemplazando la original y sus nombres de archivo originales se intercambian con una cadena larga y aleatoria de caracteres alfanuméricos. Esto hará que un archivo anteriormente llamado "document.txt" se transforme en "[cadena alfanumérica].h0lyenc" al encriptarlo.

El ransomware deja caer sus demandas de rescate dentro de un archivo llamado "FOR_DECRYPT.html".

El texto completo de la nota de rescate es el siguiente:

santofantasma

Lea este texto para descifrar todos los archivos cifrados.

No se preocupe, puede devolver todos sus archivos.

Si desea restaurar todos sus archivos, envíe un correo a H0lyGh0st@mail2tor.com con su identificación. Su identificación es -

O instale el navegador tor y contáctenos con su identificación o nombre de la empresa (si todas las computadoras de su empresa están encriptadas).

Nuestro sitio: H0lyGh0stWebsite

Nuestro servicio

Después de pagar, le enviaremos un desbloqueador con clave de descifrado

¡Atención!

No cambie el nombre de los archivos cifrados.

No intente descifrar sus datos con software de terceros, puede causar la pérdida permanente de datos.

El descifrado de sus archivos con la ayuda de terceros puede aumentar el precio.

El antivirus puede bloquear nuestro desbloqueo, así que deshabilite primero el antivirus y ejecute el desbloqueo con la clave de descifrado.