H0lyGh0st Ransomware
El H0lyGh0st Ransomware es una amenaza preocupante que se está utilizando en ataques contra PYMES (Pequeñas y Medianas Empresas). Se cree que los operadores de la amenaza son un grupo de piratas informáticos de Corea del Norte cuyas actividades son rastreadas como DEV-0530 por los investigadores de ciberseguridad del Microsoft Threat Intelligence Center (MSTIC). Según sus hallazgos, el equipo de piratas informáticos ha estado activo desde al menos junio de 2021 y ha logrado infectar empresas de varios países.
La amenaza H0lyGh0st (también conocida como HolyGhost) está diseñada para cifrar los datos encontrados en los dispositivos violados y dejarlos completamente inutilizables. Cada archivo bloqueado se marcará agregando '.h0lyenc' a su nombre original como una nueva extensión. La amenaza luego creará un archivo HTML llamado 'FOR_DECRYPT.html' en el sistema infectado. Al abrir el archivo, se mostrará una nota de rescate con instrucciones para las víctimas.
El mensaje dejado por H0lyGh0st Ransomware instruye a los objetivos afectados sobre cómo contactar a los piratas informáticos principalmente. Menciona una dirección de correo electrónico en 'H0lyGh0st@mail2tor.com', pero el principal canal de comunicación parece ser un sitio web dedicado alojado en la red TOR. Por lo general, los operadores de la amenaza aceptan pagos realizados solo en Bitcoin y ejecutan un esquema de doble extorsión. Esto significa que además de bloquear los datos de sus víctimas, los ciberdelincuentes también recopilan datos confidenciales que amenazarán con divulgar al público si no se cumplen sus demandas.
El texto completo de la nota de H0lyGh0st Ransomware es:
'H0lyGh0st
Lea este texto para descifrar todos los archivos cifrados.
No se preocupe, puede devolver todos sus archivos.
Si desea restaurar todos sus archivos, envíe un correo a H0lyGh0st@mail2tor.com con su identificación. tu identificación es
O instale el navegador tor y contáctenos con su identificación o nombre de la empresa (si todas las computadoras de su empresa están encriptadas).Nuestro sitio: H0lyGh0stWebsite
Nuestro servicio
Después de pagar, le enviaremos un desbloqueador con clave de descifrado
¡Atención!
No cambie el nombre de los archivos cifrados.
No intente descifrar sus datos con software de terceros, puede causar la pérdida permanente de datos.
El descifrado de sus archivos con la ayuda de terceros puede aumentar el precio.
El antivirus puede bloquear nuestro desbloqueo, así que deshabilite primero el antivirus y ejecute el desbloqueo con la clave de descifrado.'
