GrafGrafel Ransomware

Tyrėjai nustatė kenkėjišką programą, žinomą kaip GrafGrafel. Šio tipo kenkėjiškos programos patenka į išpirkos reikalaujančių programų kategoriją – grėsmingos programinės įrangos, kuri šifruoja duomenis ir reikalauja sumokėti už vėlesnį iššifravimą, kategoriją. Vykdytas aukos įrenginyje, GrafGrafel užšifruoja daugybę sistemoje saugomų failų ir pakeičia jų pavadinimus. Prie originalių failų pavadinimų pridedamas unikalus ID, priskirtas konkrečiai aukai, kibernetinių nusikaltėlių el. pašto adresai ir plėtinys „.GrafGrafel“. Pavyzdžiui, failas, iš pradžių pavadintas „1.doc“, po šifravimo būtų paverstas „1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel“. GrafGrafel buvo nustatytas kaip Phobos Ransomware šeimos variantas.

Užbaigęs šifravimo procesą, „GrafGrafel“ siunčia išpirkos raštelius. Viena pranešimo forma pateikiama kaip iššokantis langas, sugeneruotas iš „info.hta“ failo, o tekstiniai failai „info.txt“ dedami į visus aplankus, kuriuose yra užšifruoti duomenys, taip pat sistemos darbalaukyje. Šiose pastabose esančių pranešimų analizė rodo, kad „GrafGrafel“ yra skirta įmonėms, o ne individualiems namų vartotojams. Be to, ji taiko dvigubo turto prievartavimo taktiką, o tai rodo didesnį jos strategijos sudėtingumo lygį.

GrafGrafel Ransomware taip pat gali rinkti neskelbtinus duomenis iš aukų

Iššokančiajame ir teksto failuose rodomas turinys yra identiškas. Jame pranešama, kad aukos failai buvo užšifruoti, o tai kelia papildomą grėsmę, kad slapti įmonės duomenys buvo išfiltruoti. Užpuolikai reikalauja išpirkos, įspėdami, kad nesilaikant pavogtos informacijos nutekės ir užrakinti duomenys bus toliau neprieinami. Šiose pastabose aiškiai nurodoma rizika, susijusi su galimu įmonės duomenų nutekėjimu. Pažymėtina, kad jei auka susisieks su kibernetiniais nusikaltėliais per šešių valandų laikotarpį, išpirkos suma bus sumažinta 30%.

Prieš atliekant bet kokius mokėjimus, aukai patariama išbandyti kelių mažų failų iššifravimo procesą. Pranešimai įspėja dėl veiksmų, dėl kurių gali būti prarasti visam laikui duomenys, pvz., sistemos paleidimas iš naujo arba išjungimas, paveiktų failų keitimas, trečiųjų šalių iššifravimo įrankių naudojimas arba pagalbos iš atkūrimo įmonių ar institucijų prašymas.

„GrafGrafel“ išpirkos reikalaujanti programa užšifruoja tiek vietinius, tiek tinkle bendrinamus failus, o svarbūs sistemos failai lieka nepakitę, kad užkrėsta sistema veiktų. Nors Phobos Ransomware variantai išvengia dvigubo šifravimo, nes atleidžiami nuo failų, kuriuos jau užrakino kitos išpirkos reikalaujančios programos, šis procesas nėra nepriekaištingas dėl iš anksto nustatyto išimčių sąrašo, kuris gali neaprėpti visų žinomų duomenis šifruojančių kenkėjiškų programų.

„Phobos“ variantai taip pat nutraukia procesus, susijusius su atvirais failais (pvz., duomenų bazių programomis, failų skaitytuvais ir t. t.), užkertant kelią šifravimo išskyrimams dėl to, kad failai laikomi „naudojamais“. Siekdama dar labiau apsunkinti atkūrimą, „GrafGrafel“ ištrina „Shadow Volume Copies“ ir pašalina numatytąsias atkūrimo parinktis. Išpirkos reikalaujanti programinė įranga užtikrina patvarumą, nukopijuodama save į %LOCALAPPDATA% kelią ir užsiregistruodama tam tikrais paleidimo raktais, užtikrindama automatinį paleidimą iš naujo paleidus sistemą.

Be to, Phobos atakos gali būti nukreiptos, nes kenkėjiška programa renka geografinės vietos duomenis. Šią informaciją būtų galima panaudoti vertinant, ar verta plėsti infekciją, remiantis tokiais veiksniais kaip geopolitiniai sumetimai arba aukos regiono ekonominė galia.

Įsitikinkite, kad įdiegėte pakankamai apsaugos priemonių nuo kenkėjiškų programų

Vartotojai gali įdiegti įvairias saugos priemones savo įrenginiuose, kad apsisaugotų nuo kenkėjiškų programų atakų. Čia pateikiamos pagrindinės rekomendacijos:

• Naudokite apsaugos nuo kenkėjiškų programų programinę įrangą :
• Įdiekite profesionalią saugos programinę įrangą ir nuolat ją atnaujinkite. Reguliariai planuokite nuskaitymus, kad aptiktumėte ir pašalintumėte kenkėjiškas programas.
• Atnaujinkite operacines sistemas :
• Įsitikinkite, kad operacinė sistema (OS) ir visos programinės įrangos programos yra atnaujintos naudojant naujausius saugos pataisymus. Jei įmanoma, įjunkite automatinius naujinimus.
• Įgalinti ugniasienes :
• Aktyvinkite ugniasienes tiek įrenginio, tiek tinklo lygiu. Ugniasienės yra naudingos stebint ir kontroliuojant įeinantį ir išeinantį tinklo srautą, suteikiant papildomą apsaugos lygį.
• Būkite atsargūs naudodami el. pašto priedus ir nuorodas :
• Būkite atsargūs tvarkydami el. pašto priedus arba spustelėdami nuorodas, ypač jei siuntėjas nepažįstamas. Naudokite el. pašto filtravimo įrankius, kad padėtumėte atpažinti ir išfiltruoti galimai kenkėjiškus el. laiškus.
• Naudokite stiprius, unikalius slaptažodžius :
• Visada kurkite tvirtus ir unikalius slaptažodžius visoms paskyroms. Tuo pačiu metu nenaudokite to paties slaptažodžio keliose paskyrose.
• Reguliariai kurti atsargines duomenų kopijas :
• Reguliariai kurkite atsargines svarbių duomenų kopijas išoriniame įrenginyje arba saugioje debesies paslaugoje. Kenkėjiškų programų atakos atveju atnaujintos atsarginės kopijos gali padėti atkurti prarastus arba užšifruotus failus.
• Būkite informuoti :
• Sekite naujausias kenkėjiškų programų grėsmes ir geriausią saugumo praktiką. Reguliariai tikrinkite, ar nėra naujinimų iš saugos šaltinių, ir žinokite apie įprastas kibernetinių nusikaltėlių taktikas.
• Saugūs „Wi-Fi“ tinklai :
• Namų „Wi-Fi“ tinkluose naudokite tvirtą šifravimą (pvz., WPA3). Pakeiskite numatytuosius maršrutizatoriaus slaptažodžius ir reguliariai atnaujinkite juos. Venkite naudoti viešąjį „Wi-Fi“ jautriai veiklai.

Derindami šias saugumo priemones, vartotojai gali žymiai sustiprinti apsaugą nuo kenkėjiškų programų ir kitų kibernetinių grėsmių. Be to, norint išlaikyti saugią skaitmeninę aplinką, būtina ugdyti sąmoningą požiūrį į saugumą ir išlikti budriems.

Visas išpirkos rašto, pateikto GrafGrafel Ransomware aukoms, tekstas yra toks:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Su kuo susidursite, jei jūsų duomenys pateks į juodąją rinką:
Jūsų darbuotojų ir klientų asmeninė informacija gali būti naudojama norint gauti paskolą arba pirkti internetinėse parduotuvėse.
Jūsų įmonės klientai gali pareikšti ieškinį dėl konfidencialios informacijos nutekėjimo.
Kitiems įsilaužėliams gavus asmens duomenis apie jūsų darbuotojus, jūsų įmonėje bus pritaikyta socialinė inžinerija, o vėlesnės atakos tik sustiprės.
Banko duomenys ir pasai gali būti naudojami kuriant banko sąskaitas ir internetines pinigines, per kurias bus plaunami nusikalstami pinigai.
Jūs amžinai prarasite reputaciją.
Jums bus taikomos didžiulės vyriausybės baudos.
Daugiau apie atsakomybę už duomenų praradimą galite sužinoti čia: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation arba čia hxxps://gdpr-info.eu
Teismai, baudos ir nesugebėjimas naudotis svarbiais failais atves jus į didžiulius nuostolius. To pasekmės jums bus negrįžtamos.
Kreipimasis į policiją jūsų nuo šių pasekmių neapsaugos, o prarasti duomenys tik pablogins jūsų situaciją.

Kaip su mumis susisiekti
Rašykite mums el. paštu: GrafGrafel@tutanota.com
Galite susisiekti su mūsų internetiniu operatoriumi telegramoje: @GROUNDINGCONDUCTOR (ATSARGIAI SUKLASTOJANT)
Atsisiųskite (sesijos) „Messenger“ hxxps://getsession.org naudodami „Messenger“ :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Įrašykite šį ID savo pranešimo pavadinime -
JEI SUSISIEKITE SU MUMIS PER PIRMAS 6 valandas, o sandorį užbaigsime per 24 valandas, KAINA BUS TIK 30%.
(laikas yra pinigai mums abiem, jei rūpinsitės mūsų laiku, darysime taip pat, pasirūpinsime kaina, o iššifravimo procesas bus atliktas LABAI GREITAI)
VISI ATSISIŲSTI DUOMENYS BUS IŠTRINTI po apmokėjimo.

Ko nedaryti ir rekomendacija
Iš šios situacijos galite išeiti su minimaliais nuostoliais (Mūsų reputacija yra mūsų pinigai!) !!! Norėdami tai padaryti, turite griežtai laikytis šių taisyklių:
NEKEISIKITE, NEPERVARDYKITE, NEKOPPIJUOKITE, NEJUIKITE jokių failų. Tokie veiksmai gali joms PAŽENGTI ir iššifruoti bus neįmanoma.
NENAUDOKITE jokios trečiosios šalies ar viešosios iššifravimo programinės įrangos, ji taip pat gali PAŽEIDINTI failus.
NEGALIMA IŠJUNKITE arba perkraukite sistemos, nes tai gali PAŽEIDIMAI failams.
NESAMDYKITE jokių trečiųjų šalių derybininkų (išieškojimo/policijos ir pan.) Jums reikia kuo greičiau susisiekti su mumis ir pradėti derybas.
Galite atsiųsti mums 1-2 mažus duomenų, o ne vertės failus testavimui, mes juos iššifruosime ir atsiųsime atgal.
Po apmokėjimo mums reikia ne daugiau kaip 2 valandų, kad iššifruotume visus jūsų duomenis. Mes palaikysime jus, kol bus atliktas visiškas iššifravimas! ! ! (Mūsų reputacija yra mūsų pinigai!)

Nurodymai, kaip susisiekti su mūsų komanda:
Atsisiųskite (sesijos) „Messenger“ (hxxps://getsession.org) naudodami „Messenger“ :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram: @GROUNDINGCONDUCTOR (BŪKITE ATSARGIAI SUKLASTOJANT)
PAŠTAS: GrafGrafel@tutanota.com'