Oprogramowanie ransomware GrafGrafel

Badacze zidentyfikowali szkodliwy program znany jako GrafGrafel. Ten typ złośliwego oprogramowania należy do kategorii oprogramowania ransomware, czyli klasy groźnego oprogramowania, które szyfruje dane i żąda zapłaty za ich późniejsze odszyfrowanie. Po uruchomieniu na urządzeniu ofiary GrafGrafel szyfruje wiele plików przechowywanych w systemie i modyfikuje ich nazwy. Do oryginalnych tytułów plików dołączony jest unikalny identyfikator przypisany do konkretnej ofiary, adres e-mail cyberprzestępców oraz rozszerzenie „.GrafGrafel”. Na przykład plik pierwotnie nazwany „1.doc” zostanie po zaszyfrowaniu przekształcony na „1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel”. GrafGrafel został zidentyfikowany jako wariant rodziny Phobos Ransomware .

Po zakończeniu procesu szyfrowania GrafGrafel wdraża swoje notatki z żądaniem okupu. Jedną z form powiadomienia jest wyskakujące okienko generowane z pliku „info.hta”, natomiast pliki tekstowe o nazwie „info.txt” umieszczane są we wszystkich folderach zawierających zaszyfrowane dane, a także na pulpicie systemu. Analiza treści tych notatek pokazuje, że GrafGrafel jest skierowany w szczególności do firm, a nie do indywidualnych użytkowników domowych. Ponadto stosuje taktykę podwójnego wymuszenia, co wskazuje na wyższy poziom wyrafinowania swojej strategii.

GrafGrafel Ransomware może również zbierać wrażliwe dane od ofiar

Treść wyświetlana w wyskakujących okienkach i plikach tekstowych jest identyczna. Informuje, że pliki ofiary zostały zaszyfrowane, co stwarza dodatkowe zagrożenie eksfiltracją wrażliwych danych firmowych. Napastnicy żądają okupu, ostrzegając, że niezastosowanie się do nich spowoduje wyciek skradzionych informacji i dalszą niedostępność zablokowanych danych. W uwagach tych wyraźnie przedstawiono ryzyko związane z potencjalnymi wyciekami danych firmy. Warto zauważyć, że jeśli ofiara skontaktuje się z cyberprzestępcami w ciągu sześciu godzin, kwota okupu zostanie zmniejszona o 30%.

Przed dokonaniem jakichkolwiek płatności ofierze zaleca się przetestowanie procesu deszyfrowania na kilku małych plikach. Komunikaty ostrzegają przed działaniami, które mogą spowodować trwałą utratę danych, takimi jak ponowne uruchomienie lub zamknięcie systemu, modyfikacja plików, których to dotyczy, korzystanie z narzędzi deszyfrujących innych firm lub zwracanie się o pomoc do firm lub władz zajmujących się odzyskiwaniem danych.

Ransomware GrafGrafel szyfruje zarówno pliki lokalne, jak i udostępniane w sieci, przy czym krytyczne pliki systemowe pozostają nienaruszone, aby zapewnić, że zainfekowany system będzie nadal działał. Chociaż warianty oprogramowania Phobos Ransomware unikają podwójnego szyfrowania, wykluczając pliki już zablokowane przez inne oprogramowanie ransomware, proces ten nie jest bezbłędny ze względu na z góry ustaloną listę wyłączeń, która może nie obejmować wszystkich znanych złośliwych programów szyfrujących dane.

Warianty Phobosa kończą także procesy związane z otwartymi plikami (np. programami baz danych, czytnikami plików itp.), zapobiegając wykluczeniom z szyfrowania na tej podstawie, że pliki są uważane za „w użyciu”. Aby jeszcze bardziej skomplikować odzyskiwanie, GrafGrafel usuwa kopie woluminów w tle, eliminując domyślne opcje odzyskiwania. Ransomware zapewnia trwałość poprzez kopiowanie się do ścieżki %LOCALAPPDATA% i rejestrowanie się przy użyciu określonych kluczy Uruchom, zapewniając automatyczne uruchomienie po ponownym uruchomieniu systemu.

Ponadto ataki Phobos mogą być celem, ponieważ złośliwe oprogramowanie gromadzi dane geolokalizacyjne. Informacje te można wykorzystać do oceny zasadności rozszerzania infekcji w oparciu o takie czynniki, jak względy geopolityczne lub siła gospodarcza regionu ofiary.

Upewnij się, że wdrożyłeś wystarczające środki bezpieczeństwa przed zagrożeniami ze strony złośliwego oprogramowania

Użytkownicy mogą wdrożyć na swoich urządzeniach różne środki bezpieczeństwa, aby zabezpieczyć się przed atakami złośliwego oprogramowania. Oto najważniejsze zalecenia:

• Użyj oprogramowania chroniącego przed złośliwym oprogramowaniem :
• Zainstaluj profesjonalne oprogramowanie zabezpieczające i aktualizuj je. Regularnie planuj skanowanie w celu wykrycia i usunięcia złośliwego oprogramowania.
• Aktualizuj systemy operacyjne :
• Upewnij się, że system operacyjny (OS) i wszystkie aplikacje są zaktualizowane przy użyciu najnowszych dostępnych poprawek zabezpieczeń. Włącz automatyczne aktualizacje, jeśli to możliwe.
• Włącz zapory sieciowe :
• Aktywuj zapory ogniowe na poziomie urządzenia i sieci. Zapory ogniowe są przydatne w monitorowaniu i kontrolowaniu przychodzącego i wychodzącego ruchu sieciowego, zapewniając dodatkową warstwę ochrony.
• Zachowaj ostrożność w przypadku załączników i łączy do wiadomości e-mail :
• Zachowaj ostrożność podczas obsługi załączników do wiadomości e-mail lub klikania łączy, zwłaszcza jeśli nadawca jest nieznany. Użyj narzędzi do filtrowania wiadomości e-mail, aby zidentyfikować i odfiltrować potencjalnie złośliwe wiadomości e-mail.
• Używaj silnych, unikalnych haseł :
• Zawsze twórz silne i unikalne hasła do wszystkich kont. Jednocześnie pamiętaj, aby unikać używania tego samego hasła na wielu kontach.
• Regularnie twórz kopie zapasowe danych :
• Regularnie twórz kopie zapasowe ważnych danych na urządzeniu zewnętrznym lub w bezpiecznej usłudze w chmurze. W przypadku ataku złośliwego oprogramowania posiadanie aktualnych kopii zapasowych może pomóc w przywróceniu utraconych lub zaszyfrowanych plików.
• Bądź na bieżąco :
• Śledź najnowsze zagrożenia złośliwym oprogramowaniem i najlepsze praktyki w zakresie bezpieczeństwa. Regularnie sprawdzaj dostępność aktualizacji ze źródeł bezpieczeństwa i miej świadomość typowych taktyk stosowanych przez cyberprzestępców.
• Bezpieczne sieci Wi-Fi :
• Używaj silnego szyfrowania (np. WPA3) w domowych sieciach Wi-Fi. Zmień domyślne hasła routera i regularnie je aktualizuj. Unikaj korzystania z publicznych sieci Wi-Fi do celów wrażliwych.

Łącząc te środki bezpieczeństwa, użytkownicy mogą znacznie zwiększyć swoją ochronę przed złośliwym oprogramowaniem i innymi zagrożeniami cybernetycznymi. Ponadto kultywowanie nastawienia świadomego bezpieczeństwa i zachowanie czujności to istotne aspekty utrzymania bezpiecznego środowiska cyfrowego.

Pełny tekst żądania okupu przedstawionego ofiarom GrafGrafel Ransomware to:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Co Cię spotka, jeśli Twoje dane trafią na czarny rynek:
Dane osobowe Twoich pracowników i klientów mogą zostać wykorzystane w celu uzyskania pożyczki lub zakupów w sklepach internetowych.
Możesz zostać pozwany przez klientów Twojej firmy za ujawnienie poufnych informacji.
Gdy inni hakerzy zdobędą dane osobowe Twoich pracowników, w Twojej firmie zostanie zastosowana socjotechnika, a kolejne ataki będą się tylko nasilać.
Dane bankowe i paszporty można wykorzystać do tworzenia kont bankowych i portfeli internetowych, za pośrednictwem których będą prane pieniądze pochodzące z przestępstwa.
Na zawsze stracisz reputację.
Grożą Ci ogromne kary nałożone przez rząd.
Więcej informacji na temat odpowiedzialności za utratę danych można znaleźć tutaj: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationlub tutaj hxxps://gdpr-info.eu
Sądy, kary i niemożność skorzystania z ważnych plików doprowadzą Cię do ogromnych strat. Konsekwencje tego będą dla Ciebie nieodwracalne.
Kontakt z policją nie uchroni Cię przed tymi konsekwencjami, a utracone dane tylko pogorszą Twoją sytuację.

Jak się z nami skontaktować
Napisz do nas na maile: GrafGrafel@tutanota.com
Z naszym operatorem internetowym możesz skontaktować się za pomocą telegramu: @GROUNDINGCONDUCTOR (UWAŻAJ NA FAŁSZYWOŚCI)
Pobierz komunikator (sesyjny) hxxps://getsession.org w komunikatorze:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Wpisz ten identyfikator w tytule wiadomości -
JEŚLI SKONTAKTUJESZ SIĘ Z NAMI W CIĄGU PIERWSZYCH 6 godzin, a my zamkniemy transakcję w ciągu 24 godzin, CENA BĘDZIE TYLKO 30%.
(czas to pieniądz dla nas obu, jeśli Ty zadbasz o nasz czas, my zrobimy to samo, zadbamy o cenę, a proces odszyfrowania zostanie przeprowadzony BARDZO SZYBKO)
WSZYSTKIE POBRANE DANE ZOSTANĄ USUNIĘTE po dokonaniu płatności.

Czego nie robić i rekomendacja
Możesz wyjść z tej sytuacji przy minimalnych stratach (Nasza reputacja to nasze pieniądze!) !!! Aby to zrobić, musisz ściśle przestrzegać następujących zasad:
NIE modyfikuj, NIE zmieniaj nazwy, NIE kopiuj, NIE przenoś żadnych plików. Takie działania mogą je USZKODZIĆ i odszyfrowanie będzie niemożliwe.
NIE używaj żadnego oprogramowania innych firm ani publicznego oprogramowania do odszyfrowywania, może to również spowodować USZKODZENIE plików.
NIE zamykaj ani nie uruchamiaj ponownie systemu, może to spowodować USZKODZENIE plików.
NIE zatrudniaj zewnętrznych negocjatorów (odzyskiwanie/policja itp.). Należy jak najszybciej skontaktować się z nami i rozpocząć negocjacje.
Możesz przesłać nam do testu 1-2 małe pliki z danymi, które nie mają wartości, a my je odszyfrujemy i odeślemy do Ciebie.
Po dokonaniu płatności potrzebujemy nie więcej niż 2 godzin, aby odszyfrować wszystkie Twoje dane. Będziemy Cię wspierać aż do całkowitego odszyfrowania! ! ! (Nasza reputacja to nasze pieniądze!)

Instrukcja kontaktu z naszym zespołem:
Pobierz komunikator (sesyjny) (hxxps://getsession.org) w komunikatorze:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram: @GROUNDINGCONDUCTOR (UWAŻAJ NA FAŁSZYWE)
POCZTA:GrafGrafel@tutanota.com”