H0lyGh0st Ransomware

Le H0lyGh0st Ransomware est une menace inquiétante qui est utilisée dans les attaques contre les PME (petites et moyennes entreprises). Les opérateurs de la menace seraient un groupe de pirates nord-coréens dont les activités sont suivies sous le numéro DEV-0530 par les chercheurs en cybersécurité du Microsoft Threat Intelligence Center (MSTIC). Selon leurs conclusions, la tenue de pirates est active depuis au moins juin 2021 et a réussi à infecter des entreprises de plusieurs pays.

La menace H0lyGh0st (alias HolyGhost) est conçue pour crypter les données trouvées sur les appareils piratés et les rendre complètement inutilisables. Chaque fichier verrouillé sera marqué via l'ajout de '.h0lyenc' à son nom d'origine en tant que nouvelle extension. La menace créera alors un fichier HTML nommé 'FOR_DECRYPT.html' sur le système infecté. L'ouverture du fichier affichera une note de rançon avec des instructions pour les victimes.

Le message laissé par H0lyGh0st Ransomware indique aux cibles concernées comment contacter principalement les pirates. Il mentionne une adresse e-mail à "H0lyGh0st@mail2tor.com", mais le principal canal de communication semble être un site Web dédié hébergé sur le réseau TOR. En règle générale, les opérateurs de la menace acceptent uniquement les paiements effectués en Bitcoin et exécutent un système de double extorsion. Cela signifie qu'en plus de verrouiller les données de leurs victimes, les cybercriminels collectent également des données sensibles qu'ils menaceront de divulguer au public si leurs demandes ne sont pas satisfaites.

Le texte complet de la note de H0lyGh0st Ransomware est :

'H0lyGh0st

Veuillez lire ce texte pour décrypter tous les fichiers cryptés.

Ne vous inquiétez pas, vous pouvez retourner tous vos fichiers.

Si vous souhaitez restaurer tous vos fichiers, envoyez un courrier à H0lyGh0st@mail2tor.com avec votre identifiant. Votre identifiant est
Ou installez votre navigateur et contactez-nous avec votre identifiant ou le nom de votre entreprise (si tous les ordinateurs de votre entreprise sont cryptés).

Notre site : H0lyGh0stWebsite

Notre service

Après avoir payé, nous vous enverrons un outil de déverrouillage avec la clé de déchiffrement

Attention!

Ne renommez pas les fichiers cryptés.

N'essayez pas de déchiffrer vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.

Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation du prix.

L'antivirus peut bloquer notre outil de déverrouillage, alors désactivez d'abord l'antivirus et exécutez l'outil de déverrouillage avec la clé de déchiffrement.'