GrafGrafel Ransomware

Tutkijat ovat tunnistaneet haittaohjelman, joka tunnetaan nimellä GrafGrafel. Tämäntyyppiset haittaohjelmat kuuluvat kiristysohjelmien luokkaan, uhkaavaan ohjelmistoluokkaan, joka salaa tiedot ja vaatii maksua myöhemmästä salauksen purkamisesta. Kun GrafGrafel on suoritettu uhrin laitteella, se salaa useita järjestelmään tallennettuja tiedostoja ja muuttaa niiden tiedostonimiä. Tiedostojen alkuperäisiin nimikkeisiin on liitetty tietylle uhrille määritetty yksilöllinen tunnus, verkkorikollisten sähköpostiosoite ja .GrafGrafel-tunniste. Esimerkiksi tiedosto, jonka alkuperäinen nimi oli '1.doc', muutetaan salauksen jälkeen muotoon 1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel. GrafGrafel on tunnistettu muunnelmaksi Phobos Ransomware -perheestä.

Kun salausprosessi on valmis, GrafGrafel ottaa käyttöön lunnaita. Yksi ilmoitusmuoto esitetään ponnahdusikkunana, joka on luotu "info.hta"-tiedostosta, kun taas tekstitiedostot "info.txt" sijoitetaan kaikkiin salattua tietoa sisältäviin kansioihin sekä järjestelmän työpöydälle. Näissä muistiinpanoissa olevien viestien analyysi paljastaa, että GrafGrafel on suunnattu erityisesti yrityksille eikä yksittäisille kotikäyttäjille. Lisäksi se käyttää kaksinkertaista kiristystaktiikkaa, mikä osoittaa sen strategian kehittyneemmän tason.

GrafGrafel Ransomware voi myös kerätä arkaluonteisia tietoja uhreilta

Sekä ponnahdusikkunassa että tekstitiedostossa näkyvä sisältö on identtinen. Se ilmoittaa, että uhrin tiedostot on salattu, lisättynä uhkana, että yrityksen arkaluontoiset tiedot on suodatettu. Hyökkääjät vaativat lunnaita ja varoittavat, että noudattamatta jättäminen johtaa varastettujen tietojen vuotamiseen ja lukittujen tietojen jatkuvaan saavuttamattomuuteen. Näissä huomautuksissa kuvataan selkeästi riskit, jotka liittyvät mahdollisiin yritystietovuotojin. Erityisesti, jos uhri ottaa yhteyttä kyberrikollisiin kuuden tunnin sisällä, lunnaiden määrää pienennetään 30 prosenttia.

Ennen maksujen suorittamista uhria kehotetaan testaamaan salauksen purkuprosessi muutamalla pienellä tiedostolla. Viestit varoittavat toimenpiteistä, jotka voivat johtaa pysyvään tietojen katoamiseen, kuten järjestelmän uudelleenkäynnistykseen tai sammuttamiseen, ongelmallisten tiedostojen muokkaamiseen, kolmannen osapuolen salauksenpurkutyökalujen käyttämiseen tai avun hakemiseen palautusyrityksiltä tai viranomaisilta.

GrafGrafel ransomware salaa sekä paikalliset että verkon jaetut tiedostot, ja kriittiset järjestelmätiedostot säilyvät ennallaan, jotta tartunnan saaneen järjestelmän toiminta pysyy toimintakunnossa. Vaikka Phobos Ransomware -versiot välttävät kaksoissalauksen vapauttamalla tiedostot, jotka on jo lukittu muiden kiristysohjelmien kanssa, tämä prosessi ei ole virheetön ennalta määritetyn poikkeusluettelon vuoksi, joka ei välttämättä kata kaikkia tunnettuja tietoja salaavia haittaohjelmia.

Phobos-muunnelmat lopettavat myös avoimiin tiedostoihin liittyvät prosessit (esim. tietokantaohjelmat, tiedostonlukijat jne.) ja estävät salauksen poissulkemisen sillä perusteella, että tiedostoja pidetään "käytössä". Elpymisen vaikeuttamiseksi entisestään GrafGrafel poistaa Shadow Volume Copies -kopiot ja poistaa oletuspalautusvaihtoehdot. Kiristysohjelma varmistaa pysyvyyden kopioimalla itsensä %LOCALAPPDATA% polkuun ja rekisteröitymällä tiettyihin Run-avaimiin, mikä varmistaa automaattisen käynnistyksen järjestelmän uudelleenkäynnistyksen yhteydessä.

Lisäksi Phobos-hyökkäykset voivat olla kohteena, koska haittaohjelma kerää maantieteellistä sijaintia koskevia tietoja. Näitä tietoja voitaisiin hyödyntää arvioitaessa tartunnan laajentamisen kannattavuutta geopoliittisten näkökohtien tai uhrin alueen taloudellisen vahvuuden kaltaisten tekijöiden perusteella.

Varmista, että toteutat riittävät suojatoimenpiteet haittaohjelmauhkia vastaan

Käyttäjät voivat toteuttaa erilaisia suojaustoimenpiteitä laitteilleen suojautuakseen haittaohjelmahyökkäyksiä vastaan. Tässä tärkeimmät suositukset:

• Käytä haittaohjelmien torjuntaohjelmistoa :
• Asenna ammattimainen tietoturvaohjelmisto ja pidä se ajan tasalla. Ajoita säännöllisesti tarkistuksia haittaohjelmien havaitsemiseksi ja poistamiseksi.
• Pidä käyttöjärjestelmät päivitettyinä :
• Varmista, että käyttöjärjestelmä (OS) ja kaikki ohjelmistosovellukset on päivitetty uusimmilla saatavilla olevilla tietoturvakorjauksilla. Ota automaattiset päivitykset käyttöön, kun mahdollista.
• Ota palomuurit käyttöön :
• Aktivoi palomuurit sekä laite- että verkkotasolla. Palomuurit ovat hyödyllisiä tulevan ja lähtevän verkkoliikenteen seurannassa ja hallinnassa, mikä tarjoaa lisäsuojakerroksen.
• Ole varovainen sähköpostin liitteiden ja linkkien kanssa :
• Ole varovainen käsitellessäsi sähköpostin liitteitä tai napsauttaessasi linkkejä, varsinkin jos lähettäjä on tuntematon. Käytä sähköpostin suodatustyökaluja mahdollisten haitallisten sähköpostien tunnistamiseen ja suodattamiseen.
• Käytä vahvoja, ainutlaatuisia salasanoja :
• Luo aina vahvat ja ainutlaatuiset salasanat kaikille tileille. Varmista samalla, että vältät saman salasanan käyttämistä useissa tileissä.
• Varmuuskopioi tiedot säännöllisesti :
• Varmuuskopioi säännöllisesti tärkeät tiedot ulkoiseen laitteeseen tai suojattuun pilvipalveluun. Haittaohjelmahyökkäyksen sattuessa ajantasaiset varmuuskopiot voivat auttaa palauttamaan kadonneita tai salattuja tiedostoja.
• Pysy ajan tasalla :
• Seuraa uusimpia haittaohjelmauhkia ja parhaita tietoturvakäytäntöjä. Tarkista säännöllisesti päivitykset tietoturvalähteistä ja ole tietoinen verkkorikollisten käyttämistä yleisistä taktiikoista.
• Suojatut Wi-Fi-verkot :
• Käytä vahvaa salausta (esim. WPA3) Wi-Fi-kotiverkoissa. Vaihda oletusreitittimen salasanat ja päivitä ne säännöllisesti. Vältä julkisen Wi-Fi-yhteyden käyttöä arkaluontoiseen toimintaan.

Yhdistämällä nämä turvatoimenpiteet käyttäjät voivat parantaa merkittävästi suojautumistaan haittaohjelmia ja muita kyberuhkia vastaan. Lisäksi turvallisuustietoisen ajattelutavan kasvattaminen ja valppaana pysyminen ovat olennaisia osa-alueita turvallisen digitaalisen ympäristön ylläpitämisessä.

GrafGrafel Ransomwaren uhreille esitettävän lunnaat:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Mitä kohtaat, jos tietosi joutuvat mustille markkinoille:
Työntekijöidesi ja asiakkaidesi henkilötietoja voidaan käyttää lainan saamiseksi tai ostosten hankkimiseen verkkokaupoista.
Yrityksesi asiakkaat voivat haastaa sinut oikeuteen luottamuksellisten tietojen vuotamisesta.
Kun muut hakkerit ovat saaneet henkilötietoja työntekijöistäsi, yritykseesi sovelletaan sosiaalista manipulointia ja myöhemmät hyökkäykset vain lisääntyvät.
Pankkitietojen ja passien avulla voidaan luoda pankkitilejä ja verkkolompakoita, joiden kautta rikollista rahaa pestään.
Menetät maineen ikuisesti.
Sinulle määrätään valtavia sakkoja hallitukselta.
Voit lukea lisää vastuusta tietojen katoamisesta täältä: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation tai täältä hxxps://gdpr-info.eu
Tuomioistuimet, sakot ja kyvyttömyys käyttää tärkeitä tiedostoja johtavat valtaviin tappioihin. Tämän seuraukset ovat sinulle peruuttamattomia.
Poliisiin ottaminen ei pelasta sinua näiltä seurauksilta, ja kadonneet tiedot vain pahentavat tilannettasi.

Kuinka ottaa meihin yhteyttä
Kirjoita meille sähköpostiin: GrafGrafel@tutanota.com
Voit ottaa yhteyttä online-operaattoriimme sähkeessä: @GROUNDINGCONDUCTOR (VAROLE VÄÄRENTEISTÄ)
Lataa (Session) messenger hxxps://getsession.org messengerissä :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Kirjoita tämä tunnus viestisi otsikkoon -
JOS OTTAT YHTEYTTÄ ENSIMMÄISEN 6 tunnin AIKANA ja teemme kaupan 24 tunnin kuluessa, HINTA ON VAIN 30%.
(aika on rahaa meille molemmille, jos huolehdit ajastamme, teemme samoin, me huolehdimme hinnasta ja salauksen purkuprosessi tapahtuu ERITTÄIN NOPEASTI)
KAIKKI LADATUT TIEDOT POISTETAAN maksun jälkeen.

Mitä ei tehdä ja suositus
Voit selviytyä tästä tilanteesta minimaalisilla tappioilla (Maineemme on rahamme!) !!! Tätä varten sinun on noudatettava tiukasti seuraavia sääntöjä:
ÄLÄ muokkaa, ÄLÄ nimeä uudelleen, ÄLÄ kopioi, ÄLÄ siirrä tiedostoja. Tällaiset toimet voivat VAURIOITTAA niitä ja salauksen purku on mahdotonta.
ÄLÄ käytä mitään kolmannen osapuolen tai julkista salauksenpurkuohjelmistoa, se voi myös VAURIOITTAA tiedostoja.
ÄLÄ Sammuta tai käynnistä järjestelmää uudelleen, koska tämä voi VUOTTAA tiedostoja.
ÄLÄ palkkaa kolmannen osapuolen neuvottelijaa (perintä/poliisi jne.) Sinun tulee ottaa meihin yhteyttä mahdollisimman pian ja aloittaa neuvottelut.
Voit lähettää meille 1-2 pientä dataa ei arvoa -tiedostoa testiä varten, me puramme sen salauksen ja lähetämme sen sinulle takaisin.
Maksun jälkeen emme tarvitse enempää kuin 2 tuntia kaikkien tietojesi salauksen purkamiseen. Tuemme sinua, kunnes täydellinen salauksen purku on suoritettu! ! ! (Maineemme on rahamme!)

Ohjeet yhteydenottoon tiimiimme:
Lataa (Session) Messenger (hxxps://getsession.org) messengerissä :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram : @GROUNDINGCONDUCTOR (ole varovainen väärennösten suhteen)
MAIL: GrafGrafel@tutanota.com'