GrafGrafel Ransomware
حدد الباحثون برنامجًا ضارًا يعرف باسم GrafGrafel. يندرج هذا النوع من البرامج الضارة ضمن فئة برامج الفدية، وهي فئة من برامج التهديد التي تقوم بتشفير البيانات وتطلب الدفع مقابل فك تشفيرها لاحقًا. بمجرد تنفيذه على جهاز الضحية، يقوم GrafGrafel بتشفير العديد من الملفات المخزنة على النظام وتعديل أسماء الملفات الخاصة بها. يتم إلحاق العناوين الأصلية للملفات بمعرف فريد مخصص للضحية المحددة، وعنوان البريد الإلكتروني لمجرمي الإنترنت، وامتداد ".GrafGrafel". على سبيل المثال، سيتم تحويل ملف اسمه في الأصل "1.doc" إلى "1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel" بعد التشفير. تم تحديد برنامج GrafGrafel باعتباره متغيرًا ضمن عائلة Phobos Ransomware .
بعد الانتهاء من عملية التشفير، تقوم GrafGrafel بنشر ملاحظات الفدية الخاصة بها. يتم تقديم أحد أشكال الإشعارات على شكل نافذة منبثقة يتم إنشاؤها من ملف "info.hta"، بينما يتم وضع الملفات النصية المسماة "info.txt" في جميع المجلدات التي تحتوي على بيانات مشفرة، وكذلك على سطح مكتب النظام. يكشف تحليل الرسائل الموجودة في هذه الملاحظات أن GrafGrafel يستهدف الشركات على وجه التحديد وليس المستخدمين المنزليين الأفراد. علاوة على ذلك، فهو يستخدم أساليب ابتزاز مزدوجة، مما يشير إلى مستوى معزز من التطور في استراتيجيته.
قد يقوم برنامج GrafGrafel Ransomware أيضًا بجمع بيانات حساسة من الضحايا
المحتوى المعروض في كل من الملفات المنبثقة والملفات النصية متطابق. فهو يشير إلى أن ملفات الضحية قد تم تشفيرها، مع وجود تهديد إضافي يتمثل في سرقة بيانات الشركة الحساسة. ويطالب المهاجمون بفدية، محذرين من أن عدم الامتثال سيؤدي إلى تسرب المعلومات المسروقة واستمرار عدم إمكانية الوصول إلى البيانات المقفلة. توضح هذه الملاحظات بوضوح المخاطر المرتبطة بتسريب بيانات الشركة المحتمل. والجدير بالذكر أنه إذا اتصلت الضحية بمجرمي الإنترنت في غضون ست ساعات، فسيتم تخفيض مبلغ الفدية بنسبة 30%.
قبل إجراء أي مدفوعات، يُنصح الضحية باختبار عملية فك التشفير على عدد قليل من الملفات الصغيرة. تحذر الرسائل من الإجراءات التي قد تؤدي إلى فقدان دائم للبيانات، مثل إعادة تشغيل النظام أو إيقاف تشغيله، أو تعديل الملفات المتأثرة، أو استخدام أدوات فك التشفير التابعة لجهات خارجية، أو طلب المساعدة من شركات أو سلطات الاسترداد.
يقوم برنامج الفدية GrafGrafel بتشفير الملفات المحلية والمشتركة على الشبكة، مع بقاء ملفات النظام الهامة غير متأثرة لضمان استمرار تشغيل النظام المصاب. في حين أن متغيرات Phobos Ransomware تتجنب التشفير المزدوج عن طريق استثناء الملفات المقفلة بالفعل بواسطة برامج فدية أخرى، فإن هذه العملية ليست خالية من العيوب بسبب قائمة الإعفاءات المحددة مسبقًا والتي قد لا تغطي جميع البرامج الضارة المعروفة لتشفير البيانات.
تقوم متغيرات Phobos أيضًا بإنهاء العمليات المرتبطة بالملفات المفتوحة (على سبيل المثال، برامج قواعد البيانات، وقارئات الملفات، وما إلى ذلك)، مما يمنع استثناءات التشفير على أساس أن الملفات تعتبر "قيد الاستخدام". لزيادة تعقيد عملية الاسترداد، يقوم GrafGrafel بحذف نسخ Shadow Volume Copies، مما يؤدي إلى إلغاء خيارات الاسترداد الافتراضية. ينشئ برنامج الفدية الثبات عن طريق نسخ نفسه إلى مسار %LOCALAPPDATA% وتسجيل نفسه باستخدام مفاتيح تشغيل محددة، مما يضمن بدء التشغيل التلقائي عند إعادة تشغيل النظام.
بالإضافة إلى ذلك، قد يتم استهداف هجمات Phobos، حيث تقوم البرامج الضارة بجمع بيانات الموقع الجغرافي. ويمكن الاستفادة من هذه المعلومات لتقييم مدى جدوى توسيع نطاق العدوى بناءً على عوامل مثل الاعتبارات الجيوسياسية أو القوة الاقتصادية لمنطقة الضحية.
تأكد من تنفيذ تدابير أمنية كافية ضد تهديدات البرامج الضارة
يمكن للمستخدمين تنفيذ إجراءات أمنية مختلفة على أجهزتهم للحماية من هجمات البرامج الضارة. فيما يلي التوصيات الرئيسية:
- استخدام برامج مكافحة البرامج الضارة :
- قم بتثبيت برامج أمان احترافية وحافظ على تحديثها. قم بجدولة عمليات الفحص بانتظام لاكتشاف البرامج الضارة وإزالتها.
- حافظ على تحديث أنظمة التشغيل :
- تأكد من تحديث نظام التشغيل (OS) وجميع التطبيقات البرمجية بأحدث تصحيحات الأمان المتوفرة. تمكين التحديثات التلقائية عندما يكون ذلك ممكنا.
- تمكين جدران الحماية :
- قم بتنشيط جدران الحماية على مستوى الجهاز والشبكة. تعد جدران الحماية مفيدة في مراقبة حركة مرور الشبكة الواردة والصادرة والتحكم فيها، مما يوفر طبقة إضافية من الدفاع.
- توخي الحذر مع مرفقات البريد الإلكتروني والروابط :
- كن حذرًا عند التعامل مع مرفقات البريد الإلكتروني أو النقر على الروابط، خاصة إذا كان المرسل غير مألوف. استخدم أدوات تصفية البريد الإلكتروني للمساعدة في تحديد وتصفية رسائل البريد الإلكتروني التي يحتمل أن تكون ضارة.
- استخدم كلمات مرور قوية وفريدة من نوعها :
- قم دائمًا بإنشاء كلمات مرور قوية وفريدة لجميع الحسابات. وفي الوقت نفسه، تأكد من تجنب استخدام نفس كلمة المرور عبر حسابات متعددة.
- النسخ الاحتياطي للبيانات بانتظام :
- قم بإجراء نسخ احتياطي للبيانات المهمة بانتظام إلى جهاز خارجي أو خدمة سحابية آمنة. في حالة وقوع هجوم ببرامج ضارة، يمكن أن يساعد الحصول على نسخ احتياطية محدثة في استعادة الملفات المفقودة أو المشفرة.
- البقاء على علم :
- تتبع أحدث تهديدات البرامج الضارة وأفضل الممارسات الأمنية. تحقق بانتظام من التحديثات من المصادر الأمنية وكن على دراية بالتكتيكات الشائعة التي يستخدمها مجرمو الإنترنت.
- شبكات الواي فاي الآمنة :
- استخدم تشفيرًا قويًا (مثل WPA3) على شبكات Wi-Fi المنزلية. تغيير كلمات المرور الافتراضية لجهاز التوجيه وتحديثها بانتظام. تجنب استخدام شبكة Wi-Fi العامة للأنشطة الحساسة.
ومن خلال الجمع بين هذه التدابير الأمنية، يمكن للمستخدمين تعزيز حمايتهم بشكل كبير ضد البرامج الضارة والتهديدات السيبرانية الأخرى. بالإضافة إلى ذلك، فإن تنمية عقلية واعية بالأمن والبقاء يقظًا هي جوانب أساسية للحفاظ على بيئة رقمية آمنة.
النص الكامل لمذكرة الفدية المقدمة لضحايا GrafGrafel Ransomware هو:
'!!! ATTENTION !!!
Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.
About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.
ما ستواجهه إذا وصلت بياناتك إلى السوق السوداء:
يمكن استخدام المعلومات الشخصية لموظفيك وعملائك للحصول على قرض أو عمليات شراء في المتاجر عبر الإنترنت.
قد تتم مقاضاتك من قبل عملاء شركتك بسبب تسريب معلومات سرية.
بعد أن يحصل المتسللون الآخرون على بيانات شخصية عن موظفيك، سيتم تطبيق الهندسة الاجتماعية على شركتك وستتكثف الهجمات اللاحقة.
يمكن استخدام التفاصيل المصرفية وجوازات السفر لإنشاء حسابات مصرفية ومحافظ عبر الإنترنت سيتم من خلالها غسل الأموال الإجرامية.
سوف تفقد سمعتك إلى الأبد.
سوف تخضع لغرامات ضخمة من الحكومة.
يمكنك معرفة المزيد حول المسؤولية عن فقدان البيانات هنا: hxxps://en.wikipedia.org/wiki/جنرال_Data_Protection_Regulation أو هنا hxxps://gdpr-info.eu
المحاكم والغرامات وعدم القدرة على استخدام الملفات المهمة ستؤدي إلى خسائر فادحة. عواقب هذا ستكون لا رجعة فيها بالنسبة لك.
إن الاتصال بالشرطة لن ينقذك من هذه العواقب، كما أن فقدان البيانات لن يؤدي إلا إلى تفاقم وضعك.
كيف تتواصل معنا
اكتب لنا على رسائل البريد الإلكتروني: GrafGrafel@tutanota.com
يمكنك الاتصال بمشغلنا عبر الإنترنت عبر البرقية: @GROUNDINGCONDUCTOR (كن حذرًا بشأن التزييف)
قم بتنزيل (الجلسة) messenger hxxps://getsession.org في messenger:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
اكتب هذا المعرف في عنوان رسالتك -
إذا كنت ستتصل بنا خلال أول 6 ساعات، وقمنا بإغلاق صفقتنا خلال 24 ساعة، فسيكون السعر 30% فقط.
(الوقت هو المال لكلينا، إذا كنت ستهتم بوقتنا، فسنفعل نفس الشيء، وسنهتم بالسعر وستتم عملية فك التشفير بسرعة كبيرة)
سيتم حذف جميع البيانات التي تم تنزيلها بعد الدفع.
ما لا يجب القيام به والتوصية
يمكنك الخروج من هذا الوضع بأقل الخسائر (سمعتنا هي أموالنا!) !!! للقيام بذلك، يجب عليك مراعاة القواعد التالية بدقة:
لا تعدل، لا تعيد تسمية، لا تنسخ، لا تنقل أي ملفات. قد تؤدي مثل هذه الإجراءات إلى إتلافها وسيكون فك التشفير مستحيلاً.
لا تستخدم أي برنامج فك تشفير خاص بطرف ثالث أو عام، فقد يؤدي ذلك أيضًا إلى إتلاف الملفات.
لا تقم بإيقاف تشغيل النظام أو إعادة تشغيله، فقد يؤدي ذلك إلى تلف الملفات.
لا تقم بتعيين أي مفاوضين من طرف ثالث (الاسترداد/الشرطة، وما إلى ذلك). يجب عليك الاتصال بنا في أقرب وقت ممكن وبدء المفاوضات.
يمكنك أن ترسل لنا 1-2 بيانات صغيرة غير ذات قيمة للاختبار، وسوف نقوم بفك تشفيرها وإرسالها إليك مرة أخرى.
بعد الدفع، لا نحتاج إلى أكثر من ساعتين لفك تشفير جميع بياناتك. سندعمك حتى يتم فك التشفير بالكامل! ! ! (سمعتنا هي أموالنا!)
تعليمات الاتصال بفريقنا:
قم بتنزيل برنامج المراسلة (الجلسة) (hxxps://getsession.org) في برنامج messenger:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram : @GROUNDINGCONDUCTOR (احذر من التزييف)
البريد: GrafGrafel@tutanota.com'
