H0lyGh0st Ransomware

Die H0lyGh0st Ransomware ist eine besorgniserregende Bedrohung, die bei Angriffen auf KMU (kleine und mittlere Unternehmen) eingesetzt wird. Es wird angenommen, dass die Betreiber der Bedrohung eine nordkoreanische Hackergruppe sind, deren Aktivitäten von den Cybersicherheitsforschern des Microsoft Threat Intelligence Center (MSTIC) als DEV-0530 verfolgt werden. Nach ihren Erkenntnissen ist das Hacker-Outfit mindestens seit Juni 2021 aktiv und hat es geschafft, Unternehmen aus mehreren Ländern zu infizieren.

Die Bedrohung H0lyGh0st (alias HolyGhost) wurde entwickelt, um die auf den betroffenen Geräten gefundenen Daten zu verschlüsseln und sie vollständig unbrauchbar zu machen. Jede gesperrte Datei wird durch den Zusatz „.h0lyenc“ zu ihrem ursprünglichen Namen als neue Erweiterung gekennzeichnet. Die Bedrohung erstellt dann auf dem infizierten System eine HTML-Datei mit dem Namen „FOR_DECRYPT.html“. Beim Öffnen der Datei wird eine Lösegeldforderung mit Anweisungen für die Opfer angezeigt.

Die von H0lyGh0st Ransomware hinterlassene Nachricht weist die betroffenen Ziele an, wie sie die Hacker hauptsächlich kontaktieren können. Es erwähnt eine E-Mail-Adresse unter „H0lyGh0st@mail2tor.com“, aber der Hauptkommunikationskanal scheint eine dedizierte Website zu sein, die im TOR-Netzwerk gehostet wird. Typischerweise akzeptieren die Betreiber der Bedrohung nur Zahlungen in Bitcoin und führen ein doppeltes Erpressungssystem durch. Das bedeutet, dass die Cyberkriminellen nicht nur die Daten ihrer Opfer sperren, sondern auch sensible Daten sammeln, denen sie drohen, sie der Öffentlichkeit zugänglich zu machen, wenn ihre Forderungen nicht erfüllt werden.

Der vollständige Text der Notiz von H0lyGh0st Ransomware lautet:

'H0lyGh0st

Bitte lesen Sie diesen Text, um alle verschlüsselten Dateien zu entschlüsseln.

Keine Sorge, Sie können alle Ihre Dateien zurückgeben.

Wenn Sie alle Ihre Dateien wiederherstellen möchten, senden Sie eine E-Mail mit Ihrer ID an H0lyGh0st@mail2tor.com. Ihr Ausweis ist
Oder installieren Sie den Browser und kontaktieren Sie uns mit Ihrer ID oder Ihrem Firmennamen (wenn alle PCs in Ihrem Unternehmen verschlüsselt sind).

Unsere Website: H0lyGh0stWebsite

Unser Service

Nachdem Sie bezahlt haben, senden wir den Unlocker mit dem Entschlüsselungsschlüssel

Aufmerksamkeit!

Benennen Sie verschlüsselte Dateien nicht um.

Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.

Die Entschlüsselung Ihrer Dateien mit Hilfe Dritter kann zu Preiserhöhungen führen.

Antivirus kann unseren Unlocker blockieren, also zuerst Antivirus deaktivieren und Unlocker mit Entschlüsselungsschlüssel ausführen.'