H0lyGh0st Ransomware kopplat till Nordkorea

Microsoft Threat Intelligence rapporterade spåra upp en hotaktör kopplad till en ny stam av ransomware som kallas H0lyGh0st ransomware. Enligt Microsofts forskare är hotaktören baserad i Nordkorea.

H0lyGh0st ransomware själv använder dubbel utpressning, hotar att läcka känsliga exfiltrerade filer i lösensumma betalas inte. Krypterade filer inkluderar de mest populära tilläggen och inkluderar media-, dokument- och arkivfiltyper, såväl som databaser. När de väl är krypterade får filer som krypteras av H0lyGh0st ransomware tillägget ".h0lyenc", som ersätter deras ursprungliga och deras ursprungliga filnamn byts ut med en lång, slumpmässig sträng av alfanumeriska tecken. Detta gör att en fil som tidigare hette "document.txt" omvandlas till "[alfanumerisk sträng].h0lyenc" vid kryptering.

Lösenprogrammet släpper sina krav på lösen i en fil som heter "FOR_DECRYPT.html".

Den fullständiga texten i lösennotan är som följer:

H0lyGh0st

Läs denna text för att dekryptera alla krypterade filer.

Oroa dig inte, du kan returnera alla dina filer.

Om du vill återställa alla dina filer, skicka e-post till H0lyGh0st@mail2tor.com med ditt ID. Ditt ID är -

Eller installera en webbläsare och kontakta oss med ditt id eller företagsnamn (om alla datorer i ditt företag är krypterade).

Vår webbplats: H0lyGh0stWebsite

Vår tjänst

När du har betalat skickar vi upplåsare med dekrypteringsnyckel

Uppmärksamhet!

Byt inte namn på krypterade filer.

Försök inte att dekryptera dina data med programvara från tredje part, det kan orsaka permanent dataförlust.

Dekryptering av dina filer med hjälp av tredje part kan orsaka prishöjningar.

Antivirus kan blockera vår upplåsning, så inaktivera antivirus först och kör upplåsning med dekrypteringsnyckel.