H0lyGh0st Ransomware collegato alla Corea del Nord
Microsoft Threat Intelligence ha riferito di aver rintracciato un attore di minacce collegato a un nuovo ceppo di ransomware chiamato H0lyGh0st ransomware. Secondo i ricercatori di Microsoft, l'attore delle minacce ha sede in Corea del Nord.
Lo stesso ransomware H0lyGh0st utilizza una doppia estorsione, minacciando di far trapelare file sensibili esfiltrati in cambio di un riscatto non pagato. I file crittografati includono le estensioni più popolari e includono tipi di file multimediali, di documenti e di archivio, nonché database. Una volta crittografati, i file crittografati dal ransomware H0lyGh0st ricevono l'estensione ".h0lyenc", che sostituisce quella originale e i nomi dei file originali vengono sostituiti con una lunga stringa casuale di caratteri alfanumerici. Questo trasformerà un file precedentemente chiamato "document.txt" in "[stringa alfanumerica].h0lyenc" dopo la crittografia.
Il ransomware elimina le sue richieste di riscatto all'interno di un file chiamato "FOR_DECRYPT.html".
Il testo completo della richiesta di riscatto è il seguente:
H0lyGh0st
Si prega di leggere questo testo per decrittografare tutti i file crittografati.
Non preoccuparti, puoi restituire tutti i tuoi file.
Se desideri ripristinare tutti i tuoi file, invia un'e-mail a H0lyGh0st@mail2tor.com con il tuo ID. Il tuo ID è -
Oppure installa il browser e contattaci con il tuo ID o il nome della tua azienda (se tutti i PC della tua azienda sono crittografati).
Il nostro sito: H0lyGh0stWebsite
Nostro servizio
Dopo aver pagato, invieremo lo sblocco con la chiave di decrittazione
Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti può causare un aumento del prezzo.
L'antivirus potrebbe bloccare il nostro sblocco, quindi disabilita prima l'antivirus ed esegui lo sblocco con la chiave di decrittazione.
