Descomptes multi-llicència
Threat Database Ransomware GrafGrafel Ransomware

GrafGrafel Ransomware

El Mezo el Ransomware
Traduir a:
Català

Els investigadors han identificat un programa maliciós conegut com GrafGrafel. Aquest tipus de programari maliciós entra a la categoria de programari ransomware, una classe de programari amenaçador que xifra les dades i exigeix el pagament per al seu desxifrat posterior. Un cop executat al dispositiu de la víctima, GrafGrafel xifra nombrosos fitxers emmagatzemats al sistema i modifica els seus noms. Els títols originals dels fitxers s'adjunten amb un identificador únic assignat a la víctima específica, l'adreça de correu electrònic dels ciberdelinqüents i una extensió '.GrafGrafel'. Per exemple, un fitxer anomenat originalment "1.doc" es transformaria en "1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel" després del xifratge. GrafGrafel s'ha identificat com una variant dins de la família Phobos Ransomware .

Després de completar el procés de xifratge, GrafGrafel desplega les seves notes de rescat. Una forma de notificació es presenta com una finestra emergent generada a partir del fitxer 'info.hta', mentre que els fitxers de text anomenats 'info.txt' es col·loquen a totes les carpetes que contenen dades xifrades, així com a l'escriptori del sistema. L'anàlisi dels missatges d'aquestes notes revela que GrafGrafel s'adreça específicament a les empreses més que als usuaris domèstics individuals. A més, empra tàctiques d'extorsió dobles, cosa que indica un nivell millorat de sofisticació en la seva estratègia.

El GrafGrafel Ransomware també pot recollir dades sensibles de les víctimes

El contingut que es mostra tant als fitxers emergents com als fitxers de text és idèntic. Comunica que els fitxers de la víctima s'han xifrat, amb l'amenaça afegida que s'hagin exfiltrat dades sensibles de l'empresa. Els atacants demanen un rescat, advertint que l'incompliment provocarà la filtració de la informació robada i la continua inaccessibilitat de les dades bloquejades. Aquestes notes descriuen explícitament els riscos associats a possibles filtracions de dades de l'empresa. En particular, si la víctima contacta amb els ciberdelinqüents en un període de sis hores, la quantitat del rescat es reduirà un 30%.

Abans de fer qualsevol pagament, es recomana a la víctima que provi el procés de desxifrat en uns quants fitxers petits. Els missatges adverteixen contra accions que podrien provocar una pèrdua permanent de dades, com ara reiniciar o apagar el sistema, modificar fitxers afectats, utilitzar eines de desxifrat de tercers o demanar ajuda a empreses o autoritats de recuperació.

El ransomware GrafGrafel xifra els fitxers locals i compartits a la xarxa, amb els fitxers crítics del sistema no afectats per garantir que el sistema infectat segueixi operatiu. Tot i que les variants de Phobos Ransomware eviten el doble xifratge eximint els fitxers que ja estan bloquejats per altres ransomwares, aquest procés no és perfecte a causa d'una llista d'exempcions predeterminada que potser no cobreix tot el programari maliciós de xifrat de dades conegut.

Les variants de Phobos també acaben els processos associats amb fitxers oberts (per exemple, programes de bases de dades, lectors de fitxers, etc.), evitant les exclusions d'encriptació perquè els fitxers es consideren "en ús". Per complicar encara més la recuperació, GrafGrafel elimina les còpies del volum d'ombra, eliminant les opcions de recuperació predeterminades. El ransomware estableix la persistència copiant-se a la ruta %LOCALAPPDATA% i registrant-se amb claus d'execució específiques, assegurant l'inici automàtic després del reinici del sistema.

A més, els atacs de Phobos poden estar dirigits, ja que el programari maliciós recopila dades de geolocalització. Aquesta informació es podria aprofitar per avaluar la validesa d'ampliar la infecció en funció de factors com ara consideracions geopolítiques o la fortalesa econòmica de la regió de la víctima.

Assegureu-vos d'implementar mesures de seguretat suficients contra les amenaces de programari maliciós

Els usuaris poden implementar diverses mesures de seguretat als seus dispositius per protegir-se dels atacs de programari maliciós. Aquestes són les recomanacions clau:

  • Utilitzeu programari anti-malware :
  • Instal·leu programari de seguretat professional i mantingueu-lo actualitzat. Programeu les exploracions periòdicament per detectar i eliminar programari maliciós.
  • Mantenir els sistemes operatius actualitzats :
  • Assegureu-vos que el sistema operatiu (SO) i totes les aplicacions de programari estiguin actualitzats amb els darrers pedaços de seguretat disponibles. Activa les actualitzacions automàtiques quan sigui possible.
  • Activa els tallafocs :
  • Activeu els tallafocs tant a nivell de dispositiu com de xarxa. Els tallafocs són útils per supervisar i controlar el trànsit de xarxa entrant i sortint, proporcionant una capa addicional de defensa.
  • Aneu amb compte amb els fitxers adjunts i els enllaços de correu electrònic :
  • Aneu amb compte quan manipuleu fitxers adjunts de correu electrònic o feu clic als enllaços, sobretot si el remitent no el coneix. Utilitzeu eines de filtratge de correu electrònic per identificar i filtrar correus electrònics potencialment maliciosos.
  • Utilitzeu contrasenyes úniques i fortes :
  • Creeu sempre contrasenyes fortes i úniques per a tots els comptes. Al mateix temps, assegureu-vos d'evitar utilitzar la mateixa contrasenya en diversos comptes.
  • Còpia de seguretat de dades periòdicament :
  • Feu còpies de seguretat de dades importants periòdicament en un dispositiu extern o en un servei al núvol segur. En cas d'atac de programari maliciós, tenir còpies de seguretat actualitzades pot ajudar a restaurar els fitxers perduts o xifrats.
  • Manteniu-vos informat :
  • Feu un seguiment de les últimes amenaces de programari maliciós i de les millors pràctiques de seguretat. Comproveu regularment si hi ha actualitzacions de fonts de seguretat i tingueu en compte les tàctiques habituals que fan servir els ciberdelinqüents.
  • Xarxes Wi-Fi segures :
  • Utilitzeu un xifratge fort (p. ex., WPA3) a les xarxes Wi-Fi domèstiques. Canvieu les contrasenyes predeterminades de l'encaminador i actualitzeu-les periòdicament. Eviteu utilitzar la xarxa Wi-Fi pública per a activitats sensibles.

En combinar aquestes mesures de seguretat, els usuaris poden millorar significativament la seva protecció contra programari maliciós i altres amenaces cibernètiques. A més, cultivar una mentalitat conscient de la seguretat i mantenir-se vigilant són aspectes essencials per mantenir un entorn digital segur.

El text complet de la nota de rescat presentada a les víctimes de GrafGrafel Ransomware és:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Què us trobareu si les vostres dades arriben al mercat negre:
La informació personal dels vostres empleats i clients es pot utilitzar per obtenir un préstec o compres a les botigues en línia.
Els clients de la vostra empresa poden ser demandats per filtrar informació que era confidencial.
Després que altres pirates informàtics obtinguin dades personals sobre els vostres empleats, s'aplicarà l'enginyeria social a la vostra empresa i els atacs posteriors només s'intensificaran.
Les dades bancàries i els passaports es poden utilitzar per crear comptes bancaris i carteres en línia a través dels quals es blanquejaran diners criminals.
Perdràs per sempre la reputació.
Seràs objecte de grans multes per part del govern.
Podeu obtenir més informació sobre la responsabilitat per pèrdua de dades aquí: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation o aquí hxxps://gdpr-info.eu
Els jutjats, les multes i la impossibilitat d'utilitzar fitxers importants us portaran a grans pèrdues. Les conseqüències d'això seran irreversibles per a vostè.
Contactar amb la policia no us salvarà d'aquestes conseqüències, i la pèrdua de dades només empitjorarà la vostra situació.

Com contactar amb nosaltres
Escriu-nos als correus: GrafGrafel@tutanota.com
Pots contactar amb el nostre operador en línia a telegrama: @GROUNDINGCONDUCTOR (ATENCIÓ AMB ELS FALS)
Baixeu el missatger (sessió) hxxps://getsession.org a messenger: ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Escriu aquest identificador al títol del teu missatge -
SI CONTACTARÀS AMB NOSALTRES EN LES PRIMERES 6 hores i tanquem la nostra oferta en 24 hores, EL PREU SERÀ NOMÉS DEL 30%.
(El temps és diners per a tots dos, si us preocupareu pel nostre temps, farem el mateix, ens ocuparem del preu i el procés de desxifrat es farà MOLT RÀPID)
TOTES LES DADES DESCARREGATS S'ELIMINARÀN després del pagament.

Què no fer i recomanació
Podeu sortir d'aquesta situació amb pèrdues mínimes (la nostra reputació són els nostres diners!) !!! Per fer-ho, heu d'observar estrictament les regles següents:
NO modifiqueu, NO canvieu el nom, NO copieu, NO mogueu cap fitxer. Aquestes accions poden danyar-los i el desxifrat serà impossible.
NO utilitzeu cap programari de desxifrat públic o de tercers, també podria danyar fitxers.
NO apagueu ni reinicieu el sistema, això podria danyar els fitxers.
NO contracteu cap negociador extern (recuperació/policia, etc.) Cal que us poseu en contacte amb nosaltres el més aviat possible i inicieu les negociacions.
Podeu enviar-nos 1 o 2 fitxers de dades petites per a la prova, els desxifrarem i us els enviarem de nou.
Després del pagament, no necessitem més de 2 hores per desxifrar totes les vostres dades. Us donarem suport fins que es desxifra completament! ! ! (La nostra reputació són els nostres diners!)

Instruccions per contactar amb el nostre equip:
Baixeu el missatger (sessió) (hxxps://getsession.org) a messenger: ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram: @GROUNDINGCONDUCTOR (ATENCIÓ AMB ELS FALS)
CORREU:GrafGrafel@tutanota.com'

Tendència

Més vist

Carregant...