GrafGrafel ransomware

I ricercatori hanno identificato un programma dannoso noto come GrafGrafel. Questo tipo di malware rientra nella categoria dei ransomware, una classe di software minaccioso che crittografa i dati e richiede un pagamento per la successiva decrittazione. Una volta eseguito sul dispositivo di una vittima, GrafGrafel crittografa numerosi file archiviati nel sistema e ne modifica i nomi. Ai titoli originali dei file viene aggiunto un ID univoco assegnato alla vittima specifica, l'indirizzo e-mail dei criminali informatici e l'estensione ".GrafGrafel". Ad esempio, un file originariamente denominato "1.doc" verrebbe trasformato in "1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel" dopo la crittografia. GrafGrafel è stato identificato come una variante all'interno della famiglia Phobos Ransomware .

Dopo aver completato il processo di crittografia, GrafGrafel distribuisce le sue richieste di riscatto. Una forma di notifica viene presentata come un popup generato dal file "info.hta", mentre i file di testo denominati "info.txt" vengono inseriti in tutte le cartelle contenenti dati crittografati, nonché sul desktop del sistema. L'analisi dei messaggi contenuti in queste note rivela che GrafGrafel si rivolge specificamente alle aziende piuttosto che ai singoli utenti domestici. Inoltre, impiega tattiche di doppia estorsione, indicando un maggiore livello di sofisticazione nella sua strategia.

Il GrafGrafel Ransomware può anche raccogliere dati sensibili dalle vittime

Il contenuto visualizzato nei file popup e di testo è identico. Comunica che i file della vittima sono stati crittografati, con l'ulteriore minaccia che siano stati esfiltrati dati aziendali sensibili. Gli aggressori chiedono un riscatto, avvertendo che la mancata osservanza comporterà la fuga delle informazioni rubate e la continua inaccessibilità dei dati bloccati. Queste note delineano esplicitamente i rischi associati a potenziali fughe di dati aziendali. In particolare, se la vittima contatta i criminali informatici entro un periodo di sei ore, l’importo del riscatto verrà ridotto del 30%.

Prima di effettuare qualsiasi pagamento, si consiglia alla vittima di testare il processo di decrittazione su alcuni piccoli file. I messaggi mettono in guardia contro azioni che potrebbero comportare la perdita permanente di dati, come il riavvio o l'arresto del sistema, la modifica dei file interessati, l'utilizzo di strumenti di decrittazione di terze parti o la richiesta di assistenza da parte di società o autorità di recupero.

Il ransomware GrafGrafel crittografa sia i file locali che quelli condivisi in rete, lasciando inalterati i file di sistema critici per garantire che il sistema infetto rimanga operativo. Sebbene le varianti Phobos Ransomware evitino la doppia crittografia esentando i file già bloccati da altri ransomware, questo processo non è impeccabile a causa di un elenco di esenzioni predeterminato che potrebbe non coprire tutti i malware noti per la crittografia dei dati.

Le varianti di Phobos terminano anche i processi associati ai file aperti (ad esempio, programmi di database, lettori di file, ecc.), impedendo esclusioni dalla crittografia sulla base del fatto che i file sono considerati "in uso". Per complicare ulteriormente il ripristino, GrafGrafel elimina le copie shadow del volume, eliminando le opzioni di ripristino predefinite. Il ransomware stabilisce la persistenza copiandosi nel percorso %LOCALAPPDATA% e registrandosi con chiavi di esecuzione specifiche, garantendo l'avvio automatico al riavvio del sistema.

Inoltre, gli attacchi Phobos potrebbero essere presi di mira poiché il malware raccoglie dati di geolocalizzazione. Queste informazioni potrebbero essere sfruttate per valutare l’opportunità di espandere l’infezione sulla base di fattori quali considerazioni geopolitiche o la forza economica della regione della vittima.

Assicurati di implementare misure di sicurezza sufficienti contro le minacce malware

Gli utenti possono implementare varie misure di sicurezza sui propri dispositivi per proteggersi dagli attacchi malware. Ecco le raccomandazioni principali:

• Utilizza il software anti-malware :
• Installa un software di sicurezza professionale e mantienilo aggiornato. Pianifica regolarmente le scansioni per rilevare e rimuovere malware.
• Mantieni aggiornati i sistemi operativi :
• Assicurarsi che il sistema operativo (OS) e tutte le applicazioni software siano aggiornati con le ultime patch di sicurezza disponibili. Abilita gli aggiornamenti automatici quando possibile.
• Abilita firewall :
• Attiva i firewall sia a livello di dispositivo che di rete. I firewall sono utili per monitorare e controllare il traffico di rete in entrata e in uscita, fornendo un ulteriore livello di difesa.
• Prestare attenzione con allegati e collegamenti e-mail :
• Prestare attenzione quando si maneggiano gli allegati e-mail o si fa clic sui collegamenti, soprattutto se il mittente non è familiare. Utilizza gli strumenti di filtraggio della posta elettronica per identificare e filtrare le email potenzialmente dannose.
• Utilizza password complesse e univoche :
• Crea sempre password complesse e univoche per tutti gli account. Allo stesso tempo, assicurati di evitare di utilizzare la stessa password su più account.
• Backup regolare dei dati :
• Esegui regolarmente il backup dei dati importanti su un dispositivo esterno o su un servizio cloud sicuro. In caso di attacco malware, disporre di backup aggiornati può aiutare a ripristinare i file persi o crittografati.
• Rimani informato :
• Tieni traccia delle ultime minacce malware e delle migliori pratiche di sicurezza. Controlla regolarmente gli aggiornamenti provenienti da fonti di sicurezza e fai attenzione alle tattiche comuni utilizzate dai criminali informatici.
• Reti Wi-Fi sicure :
• Utilizza una crittografia avanzata (ad esempio WPA3) sulle reti Wi-Fi domestiche. Modifica le password predefinite del router e aggiornale regolarmente. Evita di utilizzare il Wi-Fi pubblico per attività sensibili.

Combinando queste misure di sicurezza, gli utenti possono migliorare significativamente la loro protezione contro malware e altre minacce informatiche. Inoltre, coltivare una mentalità attenta alla sicurezza e rimanere vigili sono aspetti essenziali per mantenere un ambiente digitale sicuro.

Il testo completo della richiesta di riscatto presentata alle vittime di GrafGrafel Ransomware è:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Cosa dovrai affrontare se i tuoi dati finiscono sul mercato nero:
Le informazioni personali dei tuoi dipendenti e clienti potrebbero essere utilizzate per ottenere un prestito o acquisti nei negozi online.
Potresti essere citato in giudizio dai clienti della tua azienda per aver divulgato informazioni riservate.
Dopo che altri hacker ottengono dati personali sui tuoi dipendenti, alla tua azienda verrà applicato l'ingegneria sociale e gli attacchi successivi non potranno che intensificarsi.
Le coordinate bancarie e i passaporti possono essere utilizzati per creare conti bancari e portafogli online attraverso i quali verrà riciclato il denaro criminale.
Perderai per sempre la reputazione.
Sarai soggetto a enormi multe da parte del governo.
Puoi saperne di più sulla responsabilità per la perdita di dati qui: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation o qui hxxps://gdpr-info.eu
Tribunali, multe e l'impossibilità di utilizzare file importanti ti porteranno a perdite enormi. Le conseguenze di ciò saranno irreversibili per te.
Contattare la polizia non ti salverà da queste conseguenze e la perdita di dati non farà altro che peggiorare la tua situazione.

Come contattarci
Scrivici alle mail: GrafGrafel@tutanota.com
Puoi contattare il nostro operatore online in telegram: @GROUNDINGCONDUCTOR (ATTENZIONE AI FALSI)
Scarica il messenger (Sessione) hxxps://getsession.org in messenger:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Scrivi questo ID nel titolo del tuo messaggio -
SE CI CONTATTACI ENTRO LE PRIME 6 ore e chiudiamo l'affare in 24 ore, IL PREZZO SARÀ SOLO DEL 30%.
(il tempo è denaro per entrambi, se ti prenderai cura del nostro tempo, noi faremo lo stesso, ci occuperemo del prezzo e il processo di decrittazione sarà fatto MOLTO VELOCEMENTE)
TUTTI I DATI SCARICATI VERRANNO CANCELLATI dopo il pagamento.

Cosa non fare e raccomandazione
Puoi uscire da questa situazione con perdite minime (La nostra reputazione è il nostro denaro!) !!! Per fare ciò è necessario osservare rigorosamente le seguenti regole:
NON modificare, NON rinominare, NON copiare, NON spostare alcun file. Tali azioni potrebbero DANNEGGIARLI e la decrittazione sarà impossibile.
NON utilizzare software di decrittazione pubblico o di terze parti, potrebbe anche DANNEGGIARE i file.
NON spegnere o riavviare il sistema perché ciò potrebbe DANNEGGIARE i file.
NON assumere negoziatori di terze parti (recupero/polizia, ecc.). È necessario contattarci il prima possibile e avviare le negoziazioni.
Puoi inviarci 1-2 piccoli file di dati non di valore per il test, li decodificheremo e te li rispediremo.
Dopo il pagamento non avremo bisogno di più di 2 ore per decrittografare tutti i tuoi dati. Ti supporteremo fino al completamento della decrittazione! ! ! (La nostra reputazione è il nostro denaro!)

Istruzioni per contattare il nostro team:
Scarica il messenger (Sessione) (hxxps://getsession.org) in messenger:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram: @GROUNDINGCONDUCTOR (ATTENZIONE AI FALSI)
MAIL:GrafGrafel@tutanota.com'