Oprogramowanie ransomware H0lyGh0st powiązane z Koreą Północną

Firma Microsoft Threat Intelligence poinformowała, że wytropiła cyberprzestępcę powiązanego z nową odmianą oprogramowania ransomware o nazwie H0lyGh0st. Według badaczy Microsoftu, podmiot zajmujący się zagrożeniami ma siedzibę w Korei Północnej.

Samo oprogramowanie ransomware H0lyGh0st używa podwójnego wymuszenia, grożąc wyciekiem wrażliwych eksfiltrowanych plików, aby okup nie był opłacany. Zaszyfrowane pliki obejmują najpopularniejsze rozszerzenia i obejmują typy plików multimedialnych, dokumentów i archiwów, a także bazy danych. Po zaszyfrowaniu pliki zaszyfrowane przez ransomware H0lyGh0st otrzymują rozszerzenie „.h0lyenc”, które zastępuje oryginalne, a oryginalne nazwy plików są zastępowane długim, losowym ciągiem znaków alfanumerycznych. Spowoduje to, że po zaszyfrowaniu plik o nazwie „document.txt” zostanie przekształcony w „[ciąg alfanumeryczny].h0lyenc”.

Oprogramowanie ransomware umieszcza żądania okupu w pliku o nazwie „FOR_DECRYPT.html”.

Pełny tekst noty okupu jest następujący:

H0lyGh0st

Przeczytaj ten tekst, aby odszyfrować wszystkie zaszyfrowane pliki.

Nie martw się, możesz zwrócić wszystkie swoje pliki.

Jeśli chcesz przywrócić wszystkie swoje pliki, wyślij e-mail na adres H0lyGh0st@mail2tor.com ze swoim identyfikatorem. Twój identyfikator to -

Lub zainstaluj przeglądarkę tor i skontaktuj się z nami, podając swój identyfikator lub nazwę firmy (jeśli wszystkie komputery w Twojej firmie są zaszyfrowane).

Nasza strona : H0lyGh0stWebsite

Nasze usługi

Po zapłaceniu wyślemy odblokowanie z kluczem deszyfrującym

Uwaga!

Nie zmieniaj nazw zaszyfrowanych plików.

Nie próbuj odszyfrowywać danych za pomocą oprogramowania innych firm, może to spowodować trwałą utratę danych.

Odszyfrowanie Twoich plików przy pomocy osób trzecich może spowodować wzrost ceny.

Program antywirusowy może blokować nasz program odblokowujący, więc najpierw wyłącz program antywirusowy i uruchom program odblokowujący za pomocą klucza deszyfrującego.