GrafGrafel 랜섬웨어

연구원들은 GrafGrafel로 알려진 악성 프로그램을 확인했습니다. 이러한 유형의 맬웨어는 데이터를 암호화하고 후속 암호 해독에 대한 비용을 요구하는 위협적인 소프트웨어 클래스인 랜섬웨어 범주에 속합니다. GrafGrafel은 피해자의 장치에서 실행되면 시스템에 저장된 수많은 파일을 암호화하고 파일 이름을 수정합니다. 파일의 원래 제목에는 특정 피해자에게 할당된 고유 ID, 사이버 범죄자의 이메일 주소 및 '.GrafGrafel' 확장자가 추가됩니다. 예를 들어 원래 이름이 '1.doc'인 파일은 암호화 후 '1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel'로 변환됩니다. GrafGrafel은 Phobos 랜섬웨어 제품군 내의 변종으로 확인되었습니다.

암호화 프로세스를 완료한 후 GrafGrafel은 몸값 메모를 배포합니다. 알림의 한 형태는 'info.hta' 파일에서 생성된 팝업으로 표시되며, 'info.txt'라는 이름의 텍스트 파일은 암호화된 데이터가 포함된 모든 폴더와 시스템 바탕 화면에 배치됩니다. 이 노트에 포함된 메시지를 분석한 결과 GrafGrafel은 개인 가정 사용자가 아닌 기업을 대상으로 하는 것으로 나타났습니다. 또한 이중 갈취 전술을 사용하여 전략의 정교함 수준이 향상되었음을 나타냅니다.

GrafGrafel 랜섬웨어는 피해자로부터 민감한 데이터도 수집할 수 있습니다.

팝업 파일과 텍스트 파일에 표시되는 내용은 동일합니다. 이는 피해자의 파일이 암호화되었음을 알리고 민감한 회사 데이터가 유출되었다는 위협도 추가됩니다. 공격자들은 몸값을 요구하며 이를 따르지 않을 경우 훔친 정보가 유출되고 잠긴 데이터에 계속 접근할 수 없게 될 것이라고 경고합니다. 이 노트에는 잠재적인 회사 데이터 유출과 관련된 위험이 명시적으로 설명되어 있습니다. 특히 피해자가 6시간 이내에 사이버 범죄자와 접촉하면 몸값이 30% 감소합니다.

피해자는 결제하기 전에 몇 개의 작은 파일에 대한 암호 해독 프로세스를 테스트하는 것이 좋습니다. 메시지는 시스템 다시 시작 또는 종료, 영향을 받은 파일 수정, 타사 암호 해독 도구 사용, 복구 회사 또는 당국의 지원 요청 등 영구적인 데이터 손실을 초래할 수 있는 작업에 대해 경고합니다.

GrafGrafel 랜섬웨어는 로컬 및 네트워크 공유 파일을 모두 암호화하고 중요한 시스템 파일은 영향을 받지 않은 상태로 유지하여 감염된 시스템이 계속 작동하도록 합니다. Phobos 랜섬웨어 변종은 다른 랜섬웨어에 의해 이미 잠긴 파일을 면제하여 이중 암호화를 방지하지만, 알려진 모든 데이터 암호화 악성 코드를 포함하지 않을 수 있는 미리 결정된 면제 목록으로 인해 이 프로세스는 완벽하지 않습니다.

Phobos 변종은 또한 열린 파일(예: 데이터베이스 프로그램, 파일 판독기 등)과 관련된 프로세스를 종료하여 파일이 '사용 중'으로 간주된다는 이유로 암호화 제외를 방지합니다. 복구를 더욱 복잡하게 만들기 위해 GrafGrafel은 섀도우 볼륨 복사본을 삭제하고 기본 복구 옵션을 제거합니다. 랜섬웨어는 자신을 %LOCALAPPDATA% 경로에 복사하고 특정 Run 키에 등록하여 지속성을 확립하며 시스템 재부팅 시 자동 시작을 보장합니다.

또한 악성코드가 지리적 위치 데이터를 수집하므로 Phobos 공격이 표적이 될 수 있습니다. 이 정보는 지정학적 고려 사항이나 피해자 지역의 경제력과 같은 요인을 기반으로 감염 확대의 가치를 평가하는 데 활용될 수 있습니다.

악성 코드 위협에 대비하여 충분한 보안 조치를 구현해야 합니다.

사용자는 장치에 다양한 보안 조치를 구현하여 맬웨어 공격으로부터 보호할 수 있습니다. 주요 권장 사항은 다음과 같습니다.

• 맬웨어 방지 소프트웨어 사용 :
• 전문 보안 소프트웨어를 설치하고 최신 상태로 유지하세요. 정기적으로 검사를 예약하여 맬웨어를 탐지하고 제거합니다.
• 운영 체제를 최신 상태로 유지 :
• 운영 체제(OS)와 모든 소프트웨어 애플리케이션이 사용 가능한 최신 보안 패치로 업데이트되었는지 확인하세요. 가능하면 자동 업데이트를 활성화하십시오.
• 방화벽 활성화 :
• 장치 및 네트워크 수준 모두에서 방화벽을 활성화합니다. 방화벽은 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 데 유용하며 추가 방어 계층을 제공합니다.
• 이메일 첨부 파일 및 링크 사용 시 주의 사항 :
• 이메일 첨부 파일을 처리하거나 링크를 클릭할 때 특히 보낸 사람이 익숙하지 않은 경우 주의하십시오. 이메일 필터링 도구를 사용하면 잠재적인 악성 이메일을 식별하고 필터링할 수 있습니다.
• 강력하고 고유한 비밀번호를 사용하세요 .
• 항상 모든 계정에 대해 강력하고 고유한 비밀번호를 만드십시오. 동시에 여러 계정에서 동일한 비밀번호를 사용하지 마십시오.
• 정기적으로 데이터 백업 :
• 중요한 데이터는 정기적으로 외부 장치나 안전한 클라우드 서비스에 백업하세요. 맬웨어 공격이 발생할 경우 최신 백업을 유지하면 손실되거나 암호화된 파일을 복원하는 데 도움이 될 수 있습니다.
• 최신 정보를 받아보세요 :
• 최신 맬웨어 위협과 보안 모범 사례를 추적하세요. 보안 소스의 업데이트를 정기적으로 확인하고 사이버 범죄자가 사용하는 일반적인 전술을 파악하십시오.
• 보안 Wi-Fi 네트워크 :
• 홈 Wi-Fi 네트워크에서는 강력한 암호화(예: WPA3)를 사용합니다. 기본 라우터 비밀번호를 변경하고 정기적으로 업데이트하세요. 민감한 활동에는 공용 Wi-Fi를 사용하지 마세요.

이러한 보안 조치를 결합함으로써 사용자는 맬웨어 및 기타 사이버 위협에 대한 보호를 크게 강화할 수 있습니다. 또한 보안을 의식하는 사고방식을 키우고 경계심을 유지하는 것은 안전한 디지털 환경을 유지하는 데 필수적인 측면입니다.

GrafGrafel 랜섬웨어 피해자에게 제공된 몸값 메모의 전체 텍스트는 다음과 같습니다.

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

귀하의 데이터가 암시장에 유출되면 직면하게 될 상황은 다음과 같습니다.
귀하의 직원과 고객의 개인정보는 온라인 상점에서 대출을 받거나 구매하는 데 사용될 수 있습니다.
귀하는 기밀 정보 유출로 인해 귀하 회사의 고객으로부터 고소를 당할 수도 있습니다.
다른 해커가 직원에 대한 개인 데이터를 획득한 후에는 사회 공학이 귀하의 회사에 적용되며 후속 공격은 더욱 강화될 것입니다.
은행 정보와 여권을 사용하여 범죄 자금을 세탁할 은행 계좌와 온라인 지갑을 만들 수 있습니다.
당신은 영원히 명성을 잃게 될 것입니다.
정부로부터 막대한 벌금을 물게 됩니다.
여기에서 데이터 손실에 대한 책임에 대해 자세히 알아볼 수 있습니다: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation 또는 여기 hxxps://gdpr-info.eu
법원, 벌금 및 중요한 파일을 사용할 수 없으면 막대한 손실을 입을 수 있습니다. 이로 인한 결과는 귀하에게 되돌릴 수 없습니다.
경찰에 연락한다고 해서 이러한 결과로부터 귀하를 구할 수는 없으며, 데이터 손실은 귀하의 상황을 더욱 악화시킬 뿐입니다.

저희에게 연락하는 방법
GrafGrafel@tutanota.com으로 메일을 보내주세요.
텔레그램으로 온라인 운영자에게 문의할 수 있습니다: @GROUNDINGCONDUCTOR(가짜에 주의하세요)
메신저에서 (세션) 메신저 hxxps://getsession.org를 다운로드하세요:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
메시지 제목에 이 ID를 기재하세요.
처음 6시간 내에 저희에게 연락하고 24시간 안에 거래를 종료하는 경우 가격은 30%에 불과합니다.
(시간은 우리 둘 모두에게 돈입니다. 귀하가 시간을 잘 관리한다면 우리도 똑같이 할 것입니다. 가격도 관리할 것이며 암호 해독 프로세스는 매우 빠르게 완료될 것입니다.)
다운로드한 모든 데이터는 결제 후 삭제됩니다.

하지 말아야 할 것과 권장 사항
최소한의 손실로 이 상황에서 벗어날 수 있습니다. (우리의 평판은 우리의 돈입니다!) !!! 이렇게 하려면 다음 규칙을 엄격히 준수해야 합니다.
파일을 수정하지 말고, 이름을 바꾸지 말고, 복사하지 말고, 이동하지 마세요. 이러한 행위로 인해 손상을 입을 수 있으며 암호 해독이 불가능해집니다.
제3자 또는 공용 암호 해독 소프트웨어를 사용하지 마십시오. 파일이 손상될 수도 있습니다.
시스템을 종료하거나 재부팅하지 마십시오. 파일이 손상될 수 있습니다.
제3자 협상가(복구/경찰 등)를 고용하지 마십시오. 가능한 한 빨리 당사에 연락하여 협상을 시작해야 합니다.
테스트용으로 가치 있는 파일이 아닌 1~2개의 작은 데이터를 보내주시면, 저희가 이를 해독하여 다시 보내드리겠습니다.
결제 후 모든 데이터를 해독하는 데 2시간이 채 걸리지 않습니다. 완전한 암호 해독이 완료될 때까지 지원해 드리겠습니다! ! ! (우리의 평판은 우리의 돈입니다!)

우리 팀에 연락하는 방법:
메신저에서 (세션) 메신저(hxxps://getsession.org)를 다운로드하세요:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram : @GROUNDINGCONDUCTOR (가짜에 주의하세요)
메일:GrafGrafel@tutanota.com'