Descontos para múltiplas licenças
Threat Database Ransomware GrafGrafel Ransomware

GrafGrafel Ransomware

Por Mezo em Ransomware
Traduzir Para:
Português

Os pesquisadores identificaram um programa malicioso conhecido como GrafGrafel. Esse tipo de malware se enquadra na categoria de ransomware, uma classe de software ameaçador que criptografa dados e exige pagamento pela sua subsequente descriptografia. Uma vez executado no dispositivo da vítima, o GrafGrafel criptografa vários arquivos armazenados no sistema e modifica seus nomes. Os títulos originais dos arquivos são anexados a um ID exclusivo atribuído à vítima específica, o endereço de e-mail dos cibercriminosos e uma extensão ‘.GrafGrafel’. Por exemplo, um arquivo originalmente chamado '1.doc' seria transformado em '1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel' após a criptografia. GrafGrafel foi identificado como uma variante da família Phobos Ransomware.

Depois de concluir o processo de criptografia, o GrafGrafel implanta suas notas de resgate. Uma forma de notificação é apresentada como um pop-up gerado a partir do arquivo 'info.hta', enquanto os arquivos de texto denominados 'info.txt' são colocados em todas as pastas que contêm dados criptografados, bem como na área de trabalho do sistema. A análise das mensagens contidas nessas notas revela que o GrafGrafel tem como alvo específico empresas, e não usuários domésticos individuais. Além disso, emprega táticas de dupla extorsão, indicando um maior nível de sofisticação na sua estratégia.

O GrafGrafel Ransomware também pode Coletar Dados Confidenciais das Vítimas

O conteúdo exibido nos arquivos pop-up e de texto é idêntico. Ele comunica que os arquivos da vítima foram criptografados, com a ameaça adicional de que dados confidenciais da empresa tenham sido exfiltrados. Os invasores exigem um resgate, alertando que o não cumprimento resultará no vazamento das informações roubadas e na inacessibilidade contínua dos dados bloqueados. Estas notas descrevem explicitamente os riscos associados a potenciais fugas de dados da empresa. Notavelmente, se a vítima entrar em contato com os cibercriminosos dentro de um período de seis horas, o valor do resgate será reduzido em 30%.

Antes de efetuar qualquer pagamento, a vítima é aconselhada a testar o processo de desencriptação em alguns ficheiros pequenos. As mensagens alertam contra ações que possam resultar em perda permanente de dados, como reiniciar ou desligar o sistema, modificar arquivos afetados, usar ferramentas de descriptografia de terceiros ou buscar assistência de empresas ou autoridades de recuperação.

O ransomware GrafGrafel criptografa arquivos locais e compartilhados em rede, com arquivos críticos do sistema permanecendo inalterados para garantir que o sistema infectado permaneça operacional. Embora as variantes do Phobos Ransomware evitem a criptografia dupla ao isentar arquivos já bloqueados por outro ransomware, esse processo não é perfeito devido a uma lista de isenções predeterminada que pode não cobrir todos os malwares conhecidos de criptografia de dados.

As variantes do Phobos também encerram processos associados a arquivos abertos (por exemplo, programas de banco de dados, leitores de arquivos, etc.), evitando exclusões de criptografia com base no fato de os arquivos serem considerados “em uso”. Para complicar ainda mais a recuperação, o GrafGrafel exclui as Shadow Volume Copies, eliminando as opções de recuperação padrão. O ransomware estabelece persistência copiando-se para o caminho %LOCALAPPDATA% e registrando-se com chaves Run específicas, garantindo inicialização automática na reinicialização do sistema.

Além disso, os ataques Phobos podem ser direcionados, pois o malware coleta dados de geolocalização. Esta informação poderia ser aproveitada para avaliar o mérito da expansão da infecção com base em factores como considerações geopolíticas ou a força económica da região da vítima.

Certifique-se de Implementar Medidas de Segurança Suficientes contra Ameaças de Malware

Os usuários podem implementar várias medidas de segurança em seus dispositivos para protegê-los contra ataques de malware. Aqui estão as principais recomendações:

    • Use software anti-malware :
    • Instale software de segurança profissional e mantenha-o atualizado. Agende verificações regularmente para detectar e remover malware.
    • Mantenha os sistemas operacionais atualizados :
    • Certifique-se de que o sistema operacional (SO) e todos os aplicativos de software estejam atualizados com os patches de segurança mais recentes disponíveis. Ative atualizações automáticas quando possível.
    • Habilite Firewalls :
    • Ative firewalls nos níveis do dispositivo e da rede. Os firewalls são úteis para monitorar e controlar o tráfego de entrada e saída da rede, fornecendo uma camada adicional de defesa.
    • Tenha cuidado com anexos e links de e-mail :
    • Tenha cuidado ao manusear anexos de e-mail ou clicar em links, especialmente se o remetente não estiver familiarizado. Use ferramentas de filtragem de e-mail para ajudar a identificar e filtrar e-mails potencialmente maliciosos.
    • Use senhas fortes e exclusivas :
    • Sempre crie senhas fortes e exclusivas para todas as contas. Ao mesmo tempo, evite usar a mesma senha em várias contas.
    • Faça backup regularmente dos dados :
    • Faça backup regularmente de dados importantes em um dispositivo externo ou em um serviço de nuvem seguro. No caso de um ataque de malware, ter backups atualizados pode ajudar a restaurar arquivos perdidos ou criptografados.
    • Mantenha-se informado :
    • Acompanhe as ameaças de malware mais recentes e as práticas recomendadas de segurança. Verifique regularmente se há atualizações de fontes de segurança e esteja ciente das táticas comuns usadas pelos cibercriminosos.
    • Redes Wi-Fi seguras :
    • Use criptografia forte (por exemplo, WPA3) em redes Wi-Fi domésticas. Altere as senhas padrão do roteador e atualize-as regularmente. Evite usar Wi-Fi público para atividades confidenciais.

Ao combinar estas medidas de segurança, os utilizadores podem melhorar significativamente a sua proteção contra malware e outras ameaças cibernéticas. Além disso, cultivar uma mentalidade preocupada com a segurança e permanecer vigilante são aspectos essenciais para manter um ambiente digital seguro.

O texto completo da nota de resgate apresentada às vítimas do GrafGrafel Ransomware é:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

O que você enfrentará se seus dados chegarem ao mercado negro:
As informações pessoais de seus funcionários e clientes poderão ser utilizadas para obtenção de empréstimos ou compras em lojas online.
Você pode ser processado por clientes de sua empresa por vazar informações confidenciais.
Depois que outros hackers obtiverem dados pessoais sobre seus funcionários, a engenharia social será aplicada à sua empresa e os ataques subsequentes só se intensificarão.
Dados bancários e passaportes podem ser usados para criar contas bancárias e carteiras online através das quais o dinheiro criminoso será lavado.
Você perderá para sempre a reputação.
Você estará sujeito a enormes multas do governo.
Você pode aprender mais sobre responsabilidade por perda de dados aqui: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationou aqui hxxps://gdpr-info.eu
Tribunais, multas e a impossibilidade de usar arquivos importantes levarão você a enormes prejuízos. As consequências disso serão irreversíveis para você.
Contactar a polícia não o salvará destas consequências e a perda de dados só piorará a sua situação.

Como entrar em contato conosco
Escreva-nos para os mails: GrafGrafel@tutanota.com
Você pode entrar em contato com nossa operadora online no telegrama: @GROUNDINGCONDUCTOR (CUIDADO COM FALSO)
Baixe o messenger (sessão) hxxps://getsession.org no messenger: ID "05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Escreva este ID no título da sua mensagem -
SE VOCÊ ENTRAR EM CONTATO CONOSCO NAS PRIMEIRAS 6 horas, e fecharmos nosso negócio em 24 horas, O PREÇO SERÁ DE APENAS 30%.
(tempo é dinheiro para nós dois, se você cuidar do nosso tempo, faremos o mesmo, cuidaremos do preço e o processo de descriptografia será feito MUITO RÁPIDO)
TODOS OS DADOS BAIXADOS SERÃO EXCLUÍDOS após o pagamento.

O que não fazer e recomendação
Você pode sair dessa situação com perdas mínimas (Nossa reputação é nosso dinheiro!)!!! Para fazer isso você deve observar rigorosamente as seguintes regras:
NÃO modifique, NÃO renomeie, NÃO copie, NÃO mova nenhum arquivo. Tais ações podem danificá-los e a descriptografia será impossível.
NÃO use nenhum software de descriptografia público ou de terceiros, pois também pode DANIFICAR os arquivos.
NÃO desligue ou reinicie o sistema, pois isso pode DANIFICAR os arquivos.
NÃO contrate nenhum negociador terceirizado (recuperação/polícia, etc.). Você precisa entrar em contato conosco o mais rápido possível e iniciar as negociações.
Você pode nos enviar de 1 a 2 arquivos pequenos de dados e não de valor para teste, nós os descriptografaremos e os enviaremos de volta.
Após o pagamento, não precisamos de mais de 2 horas para descriptografar todos os seus dados. Estaremos apoiando você até que a descriptografia completa seja feita! ! ! (Nossa reputação é nosso dinheiro!)

Instruções para entrar em contato com nossa equipe:
Baixe o mensageiro (sessão) (hxxps://getsession.org) no messenger: ID "05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram: @GROUNDINGCONDUCTOR (TENHA CUIDADO COM FALSO)
CORREIO: GrafGrafel@tutanota.com'

Tendendo

Mais visto

Carregando...