Программа-вымогатель GrafGrafel

Исследователи выявили вредоносную программу, известную как GrafGrafel. Этот тип вредоносного ПО относится к категории программ-вымогателей — классу угрожающего программного обеспечения, которое шифрует данные и требует оплаты за их последующую расшифровку. После запуска на устройстве жертвы GrafGrafel шифрует многочисленные файлы, хранящиеся в системе, и изменяет их имена. К исходным названиям файлов добавляется уникальный идентификатор, присвоенный конкретной жертве, адрес электронной почты злоумышленников и расширение .GrafGrafel. Например, файл с первоначальным именем «1.doc» после шифрования будет преобразован в «1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel». GrafGrafel был идентифицирован как вариант семейства Phobos Ransomware .

После завершения процесса шифрования GrafGrafel размещает свои заметки о выкупе. Одна форма уведомления представлена в виде всплывающего окна, созданного на основе файла info.hta, а текстовые файлы с именем info.txt размещаются во всех папках, содержащих зашифрованные данные, а также на рабочем столе системы. Анализ сообщений в этих заметках показывает, что GrafGrafel нацелен именно на компании, а не на отдельных домашних пользователей. Более того, он использует тактику двойного вымогательства, что указывает на повышенный уровень сложности его стратегии.

Программа-вымогатель GrafGrafel также может собирать конфиденциальные данные от жертв.

Содержимое, отображаемое как во всплывающем окне, так и в текстовых файлах, идентично. В нем сообщается, что файлы жертвы были зашифрованы, а также существует дополнительная угроза кражи конфиденциальных данных компании. Злоумышленники требуют выкуп, предупреждая, что невыполнение этого требования приведет к утечке украденной информации и дальнейшей недоступности заблокированных данных. В этих примечаниях подробно описываются риски, связанные с потенциальными утечками данных компании. Примечательно, что если жертва свяжется с киберпреступниками в течение шести часов, сумма выкупа будет уменьшена на 30%.

Прежде чем совершать какие-либо платежи, жертве рекомендуется протестировать процесс расшифровки на нескольких небольших файлах. Сообщения предостерегают от действий, которые могут привести к безвозвратной потере данных, таких как перезапуск или завершение работы системы, изменение затронутых файлов, использование сторонних инструментов расшифровки или обращение за помощью к компаниям по восстановлению или органам власти.

Программа-вымогатель GrafGrafel шифрует как локальные, так и общие сетевые файлы, при этом критические системные файлы остаются незатронутыми, что гарантирует работоспособность зараженной системы. Хотя варианты Phobos Ransomware избегают двойного шифрования, освобождая файлы, уже заблокированные другими программами-вымогателями, этот процесс не является безупречным из-за заранее определенного списка исключений, который может не охватывать все известные вредоносные программы, шифрующие данные.

Варианты Phobos также завершают процессы, связанные с открытыми файлами (например, программы баз данных, программы чтения файлов и т. д.), предотвращая исключения из шифрования на том основании, что файлы считаются «используемыми». Чтобы еще больше усложнить восстановление, GrafGrafel удаляет теневые копии томов, исключая параметры восстановления по умолчанию. Программа-вымогатель обеспечивает постоянство, копируя себя по пути %LOCALAPPDATA% и регистрируясь с помощью определенных ключей запуска, обеспечивая автоматический запуск после перезагрузки системы.

Кроме того, атаки Phobos могут быть целевыми, поскольку вредоносное ПО собирает данные геолокации. Эту информацию можно использовать для оценки целесообразности распространения инфекции на основе таких факторов, как геополитические соображения или экономическая мощь региона жертвы.

Обязательно примите достаточные меры безопасности против угроз вредоносного ПО.

Пользователи могут применять различные меры безопасности на своих устройствах для защиты от атак вредоносных программ. Вот ключевые рекомендации:

• Используйте антивирусное программное обеспечение :
• Установите профессиональное программное обеспечение безопасности и регулярно обновляйте его. Регулярно планируйте проверки для обнаружения и удаления вредоносных программ.
• Постоянно обновляйте операционные системы :
• Убедитесь, что операционная система (ОС) и все программные приложения обновлены последними доступными исправлениями безопасности. По возможности включите автоматические обновления.
• Включите брандмауэры :
• Активируйте брандмауэры как на уровне устройства, так и на уровне сети. Брандмауэры полезны для мониторинга и контроля входящего и исходящего сетевого трафика, обеспечивая дополнительный уровень защиты.
• Будьте осторожны с вложениями и ссылками электронной почты :
• Будьте осторожны при работе с вложениями электронной почты или переходе по ссылкам, особенно если отправитель незнаком. Используйте инструменты фильтрации электронной почты, чтобы выявлять и фильтровать потенциально вредоносные электронные письма.
• Используйте надежные и уникальные пароли :
• Всегда создавайте надежные и уникальные пароли для всех учетных записей. В то же время старайтесь не использовать один и тот же пароль для нескольких учетных записей.
• Регулярное резервное копирование данных :
• Регулярно создавайте резервные копии важных данных на внешнем устройстве или в безопасном облачном сервисе. В случае атаки вредоносного ПО наличие актуальных резервных копий может помочь восстановить потерянные или зашифрованные файлы.
• В курсе :
• Следите за новейшими угрозами вредоносного ПО и передовыми практиками обеспечения безопасности. Регулярно проверяйте наличие обновлений из источников безопасности и будьте в курсе распространенных тактик, используемых киберпреступниками.
• Безопасные сети Wi-Fi :
• Используйте стойкое шифрование (например, WPA3) в домашних сетях Wi-Fi. Измените пароли маршрутизатора по умолчанию и регулярно обновляйте их. Не используйте общедоступный Wi-Fi для конфиденциальных действий.

Комбинируя эти меры безопасности, пользователи могут значительно повысить свою защиту от вредоносных программ и других киберугроз. Кроме того, развитие мышления, ориентированного на безопасность, и сохранение бдительности являются важными аспектами поддержания безопасной цифровой среды.

Полный текст записки о выкупе, представленной жертвам GrafGrafel Ransomware:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

С чем вы столкнетесь, если ваши данные попадут на черный рынок:
Персональная информация ваших сотрудников и клиентов может быть использована для получения кредита или покупок в интернет-магазинах.
Клиенты вашей компании могут подать на вас в суд за утечку конфиденциальной информации.
После того как другие хакеры получат персональные данные о ваших сотрудниках, к вашей компании будет применена социальная инженерия, и последующие атаки будут только усиливаться.
Банковские реквизиты и паспорта могут быть использованы для создания банковских счетов и онлайн-кошельков, через которые будут отмываться преступные деньги.
Вы навсегда потеряете репутацию.
Вы будете подвергнуты огромным штрафам со стороны правительства.
Вы можете узнать больше об ответственности за потерю данных здесь: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationили здесь hxxps://gdpr-info.eu
Суды, штрафы и невозможность использовать важные файлы приведут вас к огромным потерям. Последствия этого будут для вас необратимы.
Обращение в полицию не избавит вас от этих последствий, а потеря данных только усугубит ваше положение.

Как с нами связаться
Пишите нам на почту: GrafGrafel@tutanota.com
Вы можете связаться с нашим онлайн-оператором в телеграм: @GROUNDINGCONDUCTOR (БУДЬТЕ ОСТОРОЖНЫ С ПОДДЕЛКОЙ)
Загрузите мессенджер (сеанс) hxxps://getsession.org в мессенджере: ID "05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Напишите этот идентификатор в заголовке вашего сообщения -
ЕСЛИ ВЫ СВЯЖИТЕСЬ С НАМИ В ПЕРВЫЕ 6 ЧАСОВ, а мы заключим сделку в течение 24 часов, ЦЕНА БУДЕТ ВСЕГО 30%.
(время — деньги для нас обоих, если вы позаботитесь о нашем времени, мы сделаем то же самое, мы позаботимся о цене, и процесс расшифровки будет выполнен ОЧЕНЬ БЫСТРО)
ВСЕ СКАЧАННЫЕ ДАННЫЕ БУДУТ УДАЛЕНЫ после оплаты.

Что нельзя делать и рекомендации
Выйти из этой ситуации можно с минимальными потерями (Наша репутация - наши деньги!)!!! Для этого необходимо строго соблюдать следующие правила:
НЕ изменяйте, НЕ переименовывайте, НЕ копируйте, НЕ перемещайте файлы. Такие действия могут ПОВРЕДИТЬ им и расшифровка будет невозможна.
НЕ используйте стороннее или общедоступное программное обеспечение для дешифрования, оно также может ПОВРЕДИТЬ файлы.
НЕ выключайте и не перезагружайте систему, это может ПОВРЕДИТЬ файлы.
НЕ нанимайте сторонних переговорщиков (восстановления/полиции и т. д.). Вам необходимо как можно скорее связаться с нами и начать переговоры.
Вы можете отправить нам 1-2 небольших файла данных, не имеющих значения, для тестирования, мы расшифруем их и отправим вам обратно.
После оплаты нам потребуется не более 2 часов для расшифровки всех ваших данных. Мы будем поддерживать вас до тех пор, пока не будет выполнена полная расшифровка! ! ! (Наша репутация — наши деньги!)

Инструкция по связи с нашей командой:
Загрузите мессенджер (Session) (hxxps://getsession.org) в мессенджере: ID "05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram : @GROUNDINGCONDUCTOR (БУДЬТЕ ОСТОРОЖНЫ С ПОДДЕЛКОЙ)
ПОЧТА: GrafGrafel@tutanota.com'