GrafGrafel Ransomware

A kutatók egy GrafGrafel néven ismert rosszindulatú programot azonosítottak. Az ilyen típusú rosszindulatú programok a ransomware kategóriájába tartoznak, a fenyegető szoftverek osztályába, amelyek titkosítják az adatokat, és fizetést követelnek a későbbi visszafejtésükért. Miután végrehajtották az áldozat eszközén, a GrafGrafel számos, a rendszeren tárolt fájlt titkosít, és módosítja a fájlnevüket. A fájlok eredeti címéhez egy, az adott áldozathoz rendelt egyedi azonosítót, a kiberbűnözők e-mail címét és a „.GrafGrafel” kiterjesztést csatolták. Például egy eredetileg „1.doc” nevű fájl a titkosítás után „1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel” formátumúvá alakul át. A GrafGrafel-t a Phobos Ransomware család egyik változataként azonosították.

A titkosítási folyamat befejezése után a GrafGrafel telepíti váltságdíj-jegyzeteit. Az értesítés egyik formája az „info.hta” fájlból generált felugró ablakként jelenik meg, míg az „info.txt” nevű szöveges fájlok minden titkosított adatokat tartalmazó mappába, valamint a rendszer asztalára kerülnek. A jegyzetekben található üzenetek elemzése azt mutatja, hogy a GrafGrafel kifejezetten a vállalatokat célozza meg, nem pedig az egyéni otthoni felhasználókat. Ezenkívül kettős zsarolási taktikát alkalmaz, ami azt jelzi, hogy stratégiája fejlettebb.

A GrafGrafel Ransomware érzékeny adatokat is gyűjthet az áldozatoktól

A felugró ablakban és a szöveges fájlokban megjelenő tartalom azonos. Közli, hogy az áldozat fájljait titkosították, azzal a fenyegetéssel, hogy érzékeny cégadatokat kiszivárogtattak. A támadók váltságdíjat követelnek, figyelmeztetve, hogy ennek elmulasztása az ellopott információk kiszivárgását és a zárolt adatok továbbra is elérhetetlenné válását eredményezi. Ezek a megjegyzések kifejezetten felvázolják a lehetséges vállalati adatszivárgással kapcsolatos kockázatokat. Nevezetesen, ha az áldozat hat órán belül felveszi a kapcsolatot a számítógépes bûnözõkkel, a váltságdíj összege 30%-kal csökken.

Mielőtt bármilyen fizetést teljesítene, az áldozatnak azt tanácsoljuk, hogy tesztelje a visszafejtési folyamatot néhány kisebb fájlon. Az üzenetek figyelmeztetnek az olyan műveletekre, amelyek tartós adatvesztést okozhatnak, mint például a rendszer újraindítása vagy leállítása, az érintett fájlok módosítása, harmadik féltől származó visszafejtő eszközök használata vagy a helyreállítási cégek vagy hatóságok segítségének kérése.

A GrafGrafel ransomware mind a helyi, mind a hálózaton megosztott fájlokat titkosítja, a kritikus rendszerfájlokat érintetlenül hagyva, így biztosítva a fertőzött rendszer működőképességét. Míg a Phobos Ransomware változatai elkerülik a kettős titkosítást azáltal, hogy mentesítik a más ransomware által már zárolt fájlokat, ez a folyamat nem hibátlan egy előre meghatározott mentességi lista miatt, amely nem feltétlenül fedi le az összes ismert adattitkosító kártevőt.

A Phobos változatok a nyitott fájlokhoz (pl. adatbázis-programokhoz, fájlolvasókhoz stb.) kapcsolódó folyamatokat is leállítják, megakadályozva a titkosítási kizárásokat azon az alapon, hogy a fájlokat „használatban lévőnek” tekintik. A helyreállítás további bonyolítása érdekében a GrafGrafel törli az árnyékkötet-másolatokat, megszüntetve az alapértelmezett helyreállítási lehetőségeket. A zsarolóprogram úgy biztosítja a tartósságot, hogy átmásolja magát a %LOCALAPPDATA% elérési útra, és regisztrálja magát meghatározott Futtatási kulcsokkal, így biztosítva az automatikus indítást a rendszer újraindításakor.

Ezenkívül a Phobos támadások célpontjai lehetnek, mivel a rosszindulatú program földrajzi helyadatokat gyűjt. Ez az információ felhasználható annak felmérésére, hogy érdemes-e kiterjeszteni a fertőzést olyan tényezők alapján, mint a geopolitikai megfontolások vagy az áldozat régiójának gazdasági ereje.

Ügyeljen arra, hogy megfelelő biztonsági intézkedéseket hajtson végre a rosszindulatú programokkal szemben

A felhasználók különféle biztonsági intézkedéseket alkalmazhatnak eszközeiken a rosszindulatú programok elleni védelem érdekében. Íme a legfontosabb ajánlások:

• Használjon kártevőirtó szoftvert :
• Telepítsen professzionális biztonsági szoftvert, és tartsa naprakészen. Rendszeresen ütemezzen ellenőrzéseket a rosszindulatú programok észlelésére és eltávolítására.
• Az operációs rendszer frissítése :
• Győződjön meg arról, hogy az operációs rendszer (OS) és az összes szoftveralkalmazás a legújabb elérhető biztonsági javításokkal frissül. Ha lehetséges, engedélyezze az automatikus frissítéseket.
• Tűzfalak engedélyezése :
• Aktiválja a tűzfalakat mind az eszköz, mind a hálózati szinten. A tűzfalak hasznosak a bejövő és kimenő hálózati forgalom figyelésében és vezérlésében, további védelmi réteget biztosítva.
• Legyen óvatos az e-mail mellékletekkel és linkekkel :
• Legyen körültekintő az e-mail mellékletek kezelésekor vagy a hivatkozásokra kattintva, különösen akkor, ha a feladó nem ismerős. Használjon e-mail-szűrő eszközöket a potenciálisan rosszindulatú e-mailek azonosításához és kiszűréséhez.
• Erős, egyedi jelszavak használata :
• Mindig hozzon létre erős és egyedi jelszavakat minden fiókhoz. Ugyanakkor ügyeljen arra, hogy ne használja ugyanazt a jelszót több fiókban.
• Az adatok rendszeres biztonsági mentése :
• Rendszeresen készítsen biztonsági másolatot a fontos adatokról egy külső eszközre vagy egy biztonságos felhőszolgáltatásra. Rosszindulatú programok támadása esetén a naprakész biztonsági mentések segíthetnek visszaállítani az elveszett vagy titkosított fájlokat.
• Legyen tájékozott :
• Kövesse nyomon a legújabb rosszindulatú fenyegetéseket és a legjobb biztonsági gyakorlatokat. Rendszeresen ellenőrizze a biztonsági forrásokból származó frissítéseket, és legyen tisztában a kiberbűnözők által használt gyakori taktikákkal.
• Biztonságos Wi-Fi hálózatok :
• Használjon erős titkosítást (pl. WPA3) az otthoni Wi-Fi hálózatokon. Módosítsa az alapértelmezett útválasztó jelszavakat, és rendszeresen frissítse azokat. Kerülje a nyilvános Wi-Fi használatát érzékeny tevékenységekhez.

Ezeknek a biztonsági intézkedéseknek a kombinálásával a felhasználók jelentősen fokozhatják a rosszindulatú programok és más kiberfenyegetések elleni védelmet. Ezenkívül a biztonságtudatos gondolkodásmód és az éberség megőrzése elengedhetetlen szempont a biztonságos digitális környezet megőrzéséhez.

A GrafGrafel Ransomware áldozatainak átadott váltságdíj teljes szövege a következő:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Amivel szembe kell néznie, ha adatai a feketepiacra kerülnek:
Alkalmazottainak és ügyfeleinek személyes adatai felhasználhatók kölcsönszerzéshez vagy online áruházakban történő vásárlásokhoz.
Cége ügyfelei beperelhetik Önt bizalmas információk kiszivárogtatása miatt.
Miután más hackerek személyes adatokat szereznek meg az Ön alkalmazottairól, a social engineering alkalmazására kerül sor, és a későbbi támadások csak fokozódnak.
A banki adatok és az útlevelek felhasználhatók bankszámlák és online pénztárcák létrehozására, amelyeken keresztül bűnügyi pénzek mosására kerül sor.
Örökre elveszíti a hírnevét.
Hatalmas pénzbírságot szab ki rád a kormány.
Az adatvesztésért való felelősségről itt tudhat meg többet: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation vagy itt hxxps://gdpr-info.eu
A bíróságok, a bírságok és a fontos fájlok használatának képtelensége hatalmas veszteségekhez vezet. Ennek következményei visszafordíthatatlanok lesznek az Ön számára.
A rendőrséghez fordulás nem menti meg Önt ezektől a következményektől, az elveszett adatok pedig csak rontják helyzetét.

Hogyan léphet kapcsolatba velünk
Írjon nekünk a GrafGrafel@tutanota.com e-mail címre
Felveheti a kapcsolatot online szolgáltatónkkal táviratban: @GROUNDINGCONDUCTOR (VIGYÁZAT A HAMISÍTÁSRA)
Töltse le a (Session) messengert hxxps://getsession.org a messengerben: ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Írja be ezt az azonosítót az üzenet címébe -
HA AZ ELSŐ 6 ÓRÁBAN FELVESZ VELÜNK KAPCSOLATOT, és 24 órán belül lebonyolítjuk üzletünket, AZ ÁR CSAK 30% LESZ.
(Az idő mindkettőnk számára pénz, ha törődsz az időnkkel, mi is így tesszük, mi gondoskodunk az árról, és a visszafejtési folyamat NAGYON GYORSAN megtörténik)
A fizetés után MINDEN LETÖLTÖTT ADAT TÖRLÉSE.

Mit ne tegyen, és ajánlás
Ebből a helyzetből minimális veszteséggel kerülhetsz ki (A mi pénzünk a hírnevünk!) !!! Ehhez szigorúan be kell tartania a következő szabályokat:
Fájlokat NE MÓDOSÍTS, NE nevezzen át, NE másoljon, NE helyezzen át. Az ilyen műveletek SÉRÜLHETNEK bennük, és a visszafejtés lehetetlen lesz.
NE használjon harmadik féltől származó vagy nyilvános visszafejtő szoftvert, mert az a fájlokat is KÁROSÍTHATJA.
NE állítsa le vagy indítsa újra a rendszert, mert ez KÁROSÍTHATJA a fájlokat.
NE alkalmazzon harmadik fél tárgyalópartnereket (helyreállítás/rendőrség stb.) A lehető leghamarabb kapcsolatba kell lépnie velünk, és meg kell kezdenie a tárgyalásokat.
Tesztre küldhetsz nekünk 1-2 kisebb adatot, nem értéket, mi visszafejtjük és visszaküldjük.
Fizetés után legfeljebb 2 órára van szükségünk az összes adat visszafejtéséhez. Támogatást nyújtunk mindaddig, amíg a teljes visszafejtés meg nem történik! ! ! (A hírnevünk a pénzünk!)

Útmutató csapatunkkal való kapcsolatfelvételhez:
Töltse le a (Session) messengert (hxxps://getsession.org) a messengerben: ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram : @GROUNDINGCONDUCTOR (VIGYÁZAT A HAMISÍTÁSRA)
MAIL:GrafGrafel@tutanota.com'