HolyGhost Ransomware
H0lyGh0st Ransomware
HolyGhost Doxware
Aliases: HolyLocker, SiennaPurple, SiennaBlue
(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: HolyGhost. На файлах может быть написано: BTLC_C.exe, HolyRS.exe, HolyLock.exe, BLTC.exe.
Ранний вариант BTLC_C.exe (июнь - октябрь 2021) был написан на C++, а следующие варианты HolyRS.exe, HolyLock.exe и BLTC.exe написаны на Go.
Для Windows x64.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35578
BitDefender -> Trojan.Generic.31301860
ESET-NOD32 -> WinGo/Filecoder.AX
Kaspersky -> Trojan-Ransom.Win32.Mauri.i
Microsoft -> Ransom:Win32/Filecoder!MSR
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Lmuo
TrendMicro -> Ransom_Filecoder.R002C0DGE22
---
© Генеалогия: H0lyGh0st 2021 > H0lyGh0st 2022
Сайт "ID Ransomware" идентифицирует это как H0lyGh0st.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35578
BitDefender -> Trojan.Generic.31301860
ESET-NOD32 -> WinGo/Filecoder.AX
Kaspersky -> Trojan-Ransom.Win32.Mauri.i
Microsoft -> Ransom:Win32/Filecoder!MSR
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Lmuo
TrendMicro -> Ransom_Filecoder.R002C0DGE22
---
© Генеалогия: H0lyGh0st 2021 > H0lyGh0st 2022
Информация для идентификации
Активность этого крипто-вымогателя была замечена в июне 2021 г. и продолжалась по июнь 2022. Ориентирован на англоязычных пользователей, может распространяться по всему миру. По настойчиво продвигаемому во все СМИ мнению Microsoft Threat Intelligence Center этот вымогатель распространяется из Северной Кореи группой DEV-0530 (название от Microsoft), в некоторой степени связанной с другой северокорейской группой PLUTONIUM.
К зашифрованным файлам добавляется расширение: .h0lyenc
Записка с требованием выкупа называется: FOR_DECRYPT.html
Записка с требованием выкупа называется: FOR_DECRYPT.html
Содержание записки о выкупе:
Перевод записки на русский язык:
Прочтите этот текст, чтобы расшифровать все зашифрованные файлы.Please Read this text to decrypt all files encrypted.
Don't worry, you can return all of your files.
Or install tor browser and contact us with your id or company name(If all of pcs in your company are encrypted).
Our site : H0lyGh0stWebsite
Our Service
After you pay, We will send unlocker with decryption key
Attention!
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increase price.
4. Antivirus may block our unlocker, So disable antivirus first and execute unlocker with decryption key.
Перевод записки на русский язык:
Не волнуйтесь, вы можете вернуть все свои файлы.
Или установите браузер Tor и свяжитесь с нами, указав свой id или название компании (если все компьютеры в вашей компании зашифрованы).
Наш сайт: H0lyGh0stWebsite
Наш сервис
После оплаты мы вышлем анлокер с ключом расшифровки
Внимание!
1. Не переименовывайте зашифрованные файлы.
2. Не пытайтесь расшифровать свои данные сторонними программами, это безвозвратно повредит данные.
3. Расшифровка ваших файлов с помощью третьих лиц увеличит стоимость.
4. Антивирус может заблокировать наш анлокер, поэтому сначала отключите антивирус и запустите анлокер с ключом расшифровки.
Записки и текст могут немного отличаться, в зависимости от того, какой компьютер зашифрован: в локальной сети компании или отдельный персональный.
Вымогатели пишут на своем сайте, что они не будут продавать или публиковать данные своих жертв, если им заплатят. Но если жертва не заплатит, они опубликуют все.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
FOR_DECRYPT.html - название файла с требованием выкупа;
BTLC_C.exe, HolyRS.exe, HolyLock.exe, BLTC.exe, payload.exe, <random>.exe - разные варианты вредоносного файла H0lyGh0st.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: matmq3z3hiovia3voe2tix2x54sghc3tszj74xgdy4tqtypoycszqzqd.onion
C2: 193.56.29.123
Email: H0lyGh0st@mail2tor.com
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: aa4e99b717bcb7e916148a469e69788a
SHA-1: 42fc554d8442a78a48dc624d3de59ae4515eed6d
SHA-256: 541825cb652606c2ea12fd25a842a8b3456d025841c3a7f563655ef77bb67219
Vhash: 0660d6655d65557575157az28!z
Imphash: c7269d59926fa4252270f407e4dab043
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
H0lyGh0st SiennaPurple (файл BTLC_C.exe) - июнь - октябрь 2021
H0lyGh0st SiennaBlue (HolyRS.exe) - октябрь - декабрь 2021
H0lyGh0st SiennaBlue (HolyLock.exe) - март - июнь 2022
H0lyGh0st SiennaBlue (BLTC.exe) - апрель - июнь 2022
Другие варианты, открытые для публичного анализа 15 июля 2021:
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ранний вариант от 8 октября 2021:
Расширение: .h0lyenc
Содержание записки:
We are <HolyGhost>.
All your important files are stored and encrypted.
Do not try to decrypt using third party software, it may cause permanent data lose.
To Decrypt all device,
Contact us: H0lyGh0st@mail2tor.com or install tor browser and visit:
matmq3z3hiovia3voe2tix2x54sghc3tszj74xgdy4tqtypoycszqzqd.onion
---
Файл проекта: M:\ForOP\attack(utils)\attack tools\Backdoor\powershell\btlc_C\Release\btlc_C.pdb
Файл EXE: BTLC_C.exe
Обнаружения:
DrWeb -> Trojan.Encoder.35593
BitDefender -> Gen:Heur.Bodegun.8
ESET-NOD32 -> Win32/Filecoder.OLY
Kaspersky -> HEUR:Trojan.Win32.Agentb.gen
Microsoft -> Trojan:Win32/SiennaPurple.A!dha
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Swva
TrendMicro -> TROJ_GEN.R002H01GE22
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myMessage Write-up, Write-up, Topic of Support ***
Thanks: Microsoft Security Intelligence, BleepingComputer Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.