GrafGrafel рансъмуер

Изследователите са идентифицирали злонамерена програма, известна като GrafGrafel. Този тип злонамерен софтуер попада в категорията на ransomware, клас заплашителен софтуер, който криптира данни и изисква плащане за последващото им дешифриране. Веднъж изпълнен на устройството на жертвата, GrafGrafel криптира множество файлове, съхранени в системата, и променя имената им. Оригиналните заглавия на файловете се добавят с уникален идентификатор, присвоен на конкретната жертва, имейл адреса на киберпрестъпниците и разширение „.GrafGrafel“. Например, файл с първоначално име "1.doc" ще бъде трансформиран в "1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel" след криптиране. GrafGrafel е идентифициран като вариант в семейството на Phobos Ransomware .

След завършване на процеса на криптиране, GrafGrafel разгръща своите бележки за откуп. Една форма на известяване се представя като изскачащ прозорец, генериран от файла „info.hta“, докато текстовите файлове с име „info.txt“ се поставят във всички папки, съдържащи криптирани данни, както и на работния плот на системата. Анализът на съобщенията в тези бележки разкрива, че GrafGrafel е насочен специално към компании, а не към отделни домашни потребители. Освен това той използва двойни тактики за изнудване, което показва повишено ниво на сложност в стратегията му.

Рансъмуерът GrafGrafel също може да събира чувствителни данни от жертви

Съдържанието, показано както в изскачащите, така и в текстовите файлове, е идентично. Той съобщава, че файловете на жертвата са криптирани, с допълнителна заплаха, че чувствителните фирмени данни са били ексфилтрирани. Нападателите искат откуп, като предупреждават, че неспазването ще доведе до изтичане на открадната информация и продължаваща недостъпност на заключените данни. Тези бележки изрично очертават рисковете, свързани с потенциално изтичане на фирмени данни. Трябва да се отбележи, че ако жертвата се свърже с киберпрестъпниците в рамките на шестчасов прозорец, сумата на откупа ще бъде намалена с 30%.

Преди да извърши каквото и да е плащане, жертвата се съветва да тества процеса на декриптиране върху няколко малки файла. Съобщенията предупреждават срещу действия, които могат да доведат до трайна загуба на данни, като рестартиране или изключване на системата, модифициране на засегнатите файлове, използване на инструменти за декриптиране на трети страни или търсене на помощ от компании или органи за възстановяване.

Рансъмуерът GrafGrafel криптира както локални, така и споделени в мрежата файлове, като критичните системни файлове остават незасегнати, за да се гарантира, че заразената система остава работеща. Въпреки че вариантите на Phobos Ransomware избягват двойно криптиране, като изключват файлове, които вече са заключени от друг рансъмуер, този процес не е безупречен поради предварително определен списък с изключения, който може да не покрива всички известни злонамерени програми за криптиране на данни.

Вариантите на Phobos също прекратяват процесите, свързани с отворени файлове (напр. програми за бази данни, четци на файлове и т.н.), предотвратявайки изключването на криптиране на основание, че файловете се считат за „в употреба“. За да усложни допълнително възстановяването, GrafGrafel изтрива Shadow Volume Copies, елиминирайки опциите за възстановяване по подразбиране. Рансъмуерът установява устойчивост, като се копира в пътя %LOCALAPPDATA% и се регистрира със специфични ключове за изпълнение, като гарантира автоматично стартиране при рестартиране на системата.

Освен това атаките на Phobos могат да бъдат насочени, тъй като зловредният софтуер събира данни за геолокация. Тази информация може да се използва, за да се оцени доколко е полезно да се разшири инфекцията въз основа на фактори като геополитически съображения или икономическата сила на региона на жертвата.

Уверете се, че прилагате достатъчни мерки за сигурност срещу заплахи от зловреден софтуер

Потребителите могат да прилагат различни мерки за сигурност на своите устройства, за да се предпазят от атаки на зловреден софтуер. Ето основните препоръки:

• Използвайте софтуер против зловреден софтуер :
• Инсталирайте професионален софтуер за сигурност и го поддържайте актуален. Редовно планирайте сканиране за откриване и премахване на зловреден софтуер.
• Поддържайте актуализирани операционни системи :
• Уверете се, че операционната система (ОС) и всички софтуерни приложения са актуализирани с най-новите налични корекции за сигурност. Активирайте автоматичните актуализации, когато е възможно.
• Активирайте защитните стени :
• Активирайте защитните стени на ниво устройство и мрежа. Защитните стени са полезни при наблюдение и контрол на входящия и изходящия мрежов трафик, осигурявайки допълнителен слой на защита.
• Бъдете внимателни с прикачените файлове и връзки към имейли :
• Бъдете внимателни, когато работите с прикачени файлове към имейл или щраквате върху връзки, особено ако подателят не е запознат. Използвайте инструменти за филтриране на имейли, за да идентифицирате и филтрирате потенциално злонамерени имейли.
• Използвайте силни, уникални пароли :
• Винаги създавайте силни и уникални пароли за всички акаунти. В същото време се уверете, че избягвате използването на една и съща парола в няколко акаунта.
• Редовно архивиране на данни :
• Редовно архивирайте важни данни на външно устройство или защитена облачна услуга. В случай на атака на злонамерен софтуер наличието на актуални резервни копия може да помогне за възстановяване на изгубени или криптирани файлове.
• Бъдете информирани :
• Следете най-новите заплахи за зловреден софтуер и най-добрите практики за сигурност. Проверявайте редовно за актуализации от източници за сигурност и бъдете наясно с обичайните тактики, използвани от киберпрестъпниците.
• Защитени Wi-Fi мрежи :
• Използвайте силно криптиране (напр. WPA3) в домашни Wi-Fi мрежи. Променете паролите на рутера по подразбиране и ги актуализирайте редовно. Избягвайте да използвате обществен Wi-Fi за чувствителни дейности.

Чрез комбиниране на тези мерки за сигурност потребителите могат значително да подобрят защитата си срещу злонамерен софтуер и други кибер заплахи. Освен това, култивирането на мислене, съобразено със сигурността, и запазването на бдителност са основни аспекти на поддържането на сигурна цифрова среда.

Пълният текст на бележката за откуп, предоставена на жертвите на GrafGrafel Ransomware, е:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

С какво ще се сблъскате, ако вашите данни попаднат на черния пазар:
Личната информация на вашите служители и клиенти може да се използва за получаване на заем или покупки в онлайн магазини.
Може да бъдете съдени от клиенти на вашата компания за изтичане на поверителна информация.
След като други хакери получат лични данни за вашите служители, социалното инженерство ще бъде приложено към вашата компания и следващите атаки само ще се засилят.
Банкови данни и паспорти могат да се използват за създаване на банкови сметки и онлайн портфейли, чрез които ще се перат престъпни пари.
Завинаги ще загубите репутацията си.
Ще бъдете обект на огромни глоби от правителството.
Можете да научите повече за отговорността при загуба на данни тук: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationили тук hxxps://gdpr-info.eu
Съдилищата, глобите и невъзможността да използвате важни файлове ще ви доведат до огромни загуби. Последствията от това ще бъдат необратими за вас.
Свързването с полицията няма да ви спаси от тези последствия, а загубените данни само ще влошат положението ви.

Как да се свържете с нас
Пишете ни на пощата: GrafGrafel@tutanota.com
Можете да се свържете с нашия онлайн оператор в telegram: @GROUNDINGCONDUCTOR (ВНИМАВАЙТЕ ЗА ФАЛШИВИ)
Изтеглете (Session) messenger hxxps://getsession.org в messenger:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Напишете този идентификатор в заглавието на вашето съобщение -
АКО СЕ СВЪРЖЕТЕ С НАС ПРЕЗ ПЪРВИТЕ 6 часа и ние приключим сделката си след 24 часа, ЦЕНАТА ЩЕ БЪДЕ САМО 30%.
(времето е пари и за двама ни, ако се погрижите за нашето време, ние ще направим същото, ние ще се погрижим за цената и процесът на дешифриране ще бъде извършен МНОГО БЪРЗО)
ВСИЧКИ ИЗТЕГЛЕНИ ДАННИ ЩЕ БЪДАТ ИЗТРИТИ след плащане.

Какво не трябва да се прави и препоръка
Можете да излезете от тази ситуация с минимални загуби (Нашата репутация е нашите пари!) !!! За да направите това, трябва стриктно да спазвате следните правила:
НЕ модифицирайте, НЕ преименувайте, НЕ копирайте, НЕ премествайте никакви файлове. Такива действия могат да ги ПОВРЕДЯТ и дешифрирането ще бъде невъзможно.
НЕ използвайте софтуер за декриптиране на трети страни или публичен софтуер, той също може да ПОВРЕДИ файлове.
НЕ изключвайте и не рестартирайте системата, това може да ПОВРЕДИ файловете.
НЕ наемайте трети страни преговарящи (възстановяване/полиция и т.н.) Трябва да се свържете с нас възможно най-скоро и да започнете преговори.
Можете да ни изпратите 1-2 малки файла без стойност за тест, ние ще ги дешифрираме и ще ви ги изпратим обратно.
След плащането ни трябват не повече от 2 часа, за да дешифрираме всичките ви данни. Ние ще ви подкрепяме, докато бъде извършено пълното дешифриране! ! ! (Нашата репутация са нашите пари!)

Инструкции за връзка с нашия екип:
Изтеглете (Session) messenger (hxxps://getsession.org) в messenger:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram: @GROUNDINGCONDUCTOR (ВНИМАВАЙТЕ ЗА ФАЛШИВИ)
ПОЩА: GrafGrafel@tutanota.com'