GrafGrafel Ransomware

Cercetătorii au identificat un program rău intenționat cunoscut sub numele de GrafGrafel. Acest tip de malware se încadrează în categoria ransomware, o clasă de software amenințător care criptează datele și solicită plata pentru decriptarea ulterioară. Odată executat pe dispozitivul unei victime, GrafGrafel criptează numeroase fișiere stocate în sistem și modifică numele fișierelor. Titlurile originale ale fișierelor sunt atașate cu un ID unic atribuit victimei specifice, adresa de e-mail a infractorilor cibernetici și o extensie „.GrafGrafel”. De exemplu, un fișier denumit inițial „1.doc” va fi transformat în „1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel” după criptare. GrafGrafel a fost identificat ca o variantă în cadrul familiei Phobos Ransomware .

După finalizarea procesului de criptare, GrafGrafel își desfășoară notele de răscumpărare. O formă de notificare este prezentată ca un pop-up generat din fișierul „info.hta”, în timp ce fișierele text numite „info.txt” sunt plasate în toate folderele care conțin date criptate, precum și pe desktopul sistemului. Analiza mesajelor din aceste note arată că GrafGrafel vizează în mod specific companiile, mai degrabă decât utilizatorii casnici individuali. În plus, folosește tactici duble de extorcare, indicând un nivel sporit de sofisticare în strategia sa.

De asemenea, GrafGrafel Ransomware poate colecta date sensibile de la victime

Conținutul afișat atât în fișierele pop-up, cât și în fișierele text este identic. Acesta comunică faptul că fișierele victimei au fost criptate, cu amenințarea suplimentară că datele sensibile ale companiei au fost exfiltrate. Atacatorii cer o răscumpărare, avertizând că nerespectarea va duce la scurgerea informațiilor furate și la inaccesibilitatea continuă a datelor blocate. Aceste note subliniază în mod explicit riscurile asociate cu potențialele scurgeri de date ale companiei. În special, dacă victima contactează infractorii cibernetici într-o fereastră de șase ore, valoarea răscumpărării va fi redusă cu 30%.

Înainte de a efectua plăți, victima este sfătuită să testeze procesul de decriptare pe câteva fișiere mici. Mesajele avertizează împotriva acțiunilor care ar putea duce la pierderea permanentă a datelor, cum ar fi repornirea sau închiderea sistemului, modificarea fișierelor afectate, utilizarea instrumentelor de decriptare terță parte sau solicitarea de asistență de la companii sau autorități de recuperare.

Ransomware-ul GrafGrafel criptează atât fișierele locale, cât și cele partajate în rețea, fișierele de sistem critice rămânând neafectate pentru a se asigura că sistemul infectat rămâne operațional. În timp ce variantele Phobos Ransomware evită criptarea dublă prin scutirea fișierelor deja blocate de alte ransomware, acest proces nu este impecabil datorită unei liste de scutiri predeterminate care poate să nu acopere toate programele malware cunoscute de criptare a datelor.

Variantele Phobos termină, de asemenea, procesele asociate fișierelor deschise (de exemplu, programe de baze de date, cititoare de fișiere etc.), prevenind excluderile de criptare pe motiv că fișierele sunt considerate „în uz”. Pentru a complica și mai mult recuperarea, GrafGrafel șterge Copiile Shadow Volume, eliminând opțiunile implicite de recuperare. Ransomware-ul stabilește persistența prin copierea pe calea %LOCALAPPDATA% și înregistrându-se cu anumite chei Run, asigurând pornirea automată la repornirea sistemului.

În plus, atacurile Phobos pot fi vizate, deoarece malware-ul colectează date de localizare geografică. Aceste informații ar putea fi valorificate pentru a evalua meritul extinderii infecției pe baza unor factori precum considerente geopolitice sau puterea economică a regiunii victimei.

Asigurați-vă că implementați măsuri de securitate suficiente împotriva amenințărilor malware

Utilizatorii pot implementa diverse măsuri de securitate pe dispozitivele lor pentru a se proteja împotriva atacurilor malware. Iată recomandările cheie:

• Utilizați software anti-malware :
• Instalați software profesional de securitate și mențineți-l la zi. Programați în mod regulat scanări pentru a detecta și elimina programele malware.
• Păstrați sistemele de operare actualizate :
• Asigurați-vă că sistemul de operare (OS) și toate aplicațiile software sunt actualizate cu cele mai recente corecții de securitate disponibile. Activați actualizările automate atunci când este posibil.
• Activați firewall-uri :
• Activați firewall-urile atât la nivel de dispozitiv, cât și la nivel de rețea. Firewall-urile sunt utile în monitorizarea și controlul traficului de rețea de intrare și de ieșire, oferind un nivel suplimentar de apărare.
• Fiți precauți cu atașamentele și linkurile de e-mail :
• Fiți atenți când manipulați atașamentele de e-mail sau când faceți clic pe linkuri, mai ales dacă expeditorul nu este familiarizat. Utilizați instrumente de filtrare a e-mailurilor pentru a identifica și filtra e-mailurile potențial rău intenționate.
• Utilizați parole puternice și unice :
• Creați întotdeauna parole puternice și unice pentru toate conturile. În același timp, asigurați-vă că evitați utilizarea aceleiași parole în mai multe conturi.
• Copiați în mod regulat datele :
• Faceți în mod regulat copii de siguranță ale datelor importante pe un dispozitiv extern sau pe un serviciu cloud securizat. În cazul unui atac de malware, a avea copii de rezervă actualizate poate ajuta la restaurarea fișierelor pierdute sau criptate.
• Stai informat :
• Urmăriți cele mai recente amenințări malware și cele mai bune practici de securitate. Verificați în mod regulat actualizările din sursele de securitate și fiți conștienți de tacticile obișnuite folosite de infractorii cibernetici.
• Rețele Wi-Fi securizate :
• Utilizați criptare puternică (de exemplu, WPA3) în rețelele Wi-Fi de acasă. Schimbați parolele implicite ale routerului și actualizați-le în mod regulat. Evitați utilizarea rețelei Wi-Fi publice pentru activități sensibile.

Prin combinarea acestor măsuri de securitate, utilizatorii își pot îmbunătăți în mod semnificativ protecția împotriva programelor malware și a altor amenințări cibernetice. În plus, cultivarea unei mentalități conștiente de securitate și rămânerea vigilenți sunt aspecte esențiale ale păstrării unui mediu digital sigur.

Textul integral al notei de răscumpărare prezentată victimelor GrafGrafel Ransomware este:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Cu ce te vei confrunta dacă datele tale ajung pe piața neagră:
Informațiile personale ale angajaților și clienților dumneavoastră pot fi folosite pentru a obține un împrumut sau achiziții în magazinele online.
Puteți fi dat în judecată de către clienții companiei dumneavoastră pentru scurgeri de informații care au fost confidențiale.
După ce alți hackeri obțin date personale despre angajații dvs., ingineria socială va fi aplicată companiei dvs. și atacurile ulterioare se vor intensifica.
Detaliile bancare și pașapoartele pot fi folosite pentru a crea conturi bancare și portofele online prin care banii criminali vor fi spălați.
Îți vei pierde pentru totdeauna reputația.
Veți fi supus unor amenzi uriașe din partea guvernului.
Puteți afla mai multe despre răspunderea pentru pierderea datelor aici: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation sau aici hxxps://gdpr-info.eu
Instanțele, amenzile și incapacitatea de a folosi fișiere importante vă vor duce la pierderi uriașe. Consecințele acestui lucru vor fi ireversibile pentru tine.
Contactarea poliției nu vă va salva de aceste consecințe, iar datele pierdute nu vor face decât să vă înrăutățiți situația.

Cum să ne contactați
Scrie-ne la e-mailuri: GrafGrafel@tutanota.com
Puteți contacta operatorul nostru online prin telegramă: @GROUNDINGCONDUCTOR (FIȚI ATENȚIE LA FAKE)
Descărcați (Session) messenger hxxps://getsession.org în messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Scrieți acest ID în titlul mesajului dvs. -
DACĂ NE VEȚI CONTACTA ÎN PRIMELE 6 ore și închidem oferta în 24 de ore, PREȚUL VA FI DE DOAR 30%.
(Timpul este bani pentru amândoi, dacă veți avea grijă de timpul nostru, vom face același lucru, ne vom ocupa de preț și procesul de decriptare se va face FOARTE RAPID)
TOATE DATELE DESCĂRCATE VOR FI ȘTERSE după plată.

Ce nu de făcut și recomandare
Puteți ieși din această situație cu pierderi minime (Reputația noastră sunt banii noștri!) !!! Pentru a face acest lucru, trebuie să respectați cu strictețe următoarele reguli:
NU modificați, NU redenumiți, NU copiați, NU mutați niciun fișier. Asemenea acțiuni le pot DETERMINA și decriptarea va fi imposibilă.
NU utilizați niciun software de decriptare terță parte sau public, acesta poate, de asemenea, DETERMINA fișierele.
NU opriți sau reporniți sistemul, aceasta ar putea DETERMINA fișierele.
NU angajați negociatori terți (recuperare/poliție, etc.) Trebuie să ne contactați cât mai curând posibil și să începeți negocierile.
Ne puteți trimite 1-2 fișiere de date mici, nu de valori pentru testare, le vom decripta și vi le vom trimite înapoi.
După plată, nu avem nevoie de mai mult de 2 ore pentru a decripta toate datele dumneavoastră. Vă vom sprijini până la decriptarea completă! ! ! (Reputația noastră este banii noștri!)

Instrucțiuni pentru a contacta echipa noastră:
Descărcați messengerul (sesiune) (hxxps://getsession.org) în messenger: ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram: @GROUNDINGCONDUCTOR (FIȚI ATENȚIE LA FAKE)
MAIL:GrafGrafel@tutanota.com'