GrafGrafel Ransomware

Výskumníci identifikovali škodlivý program známy ako GrafGrafel. Tento typ malvéru spadá do kategórie ransomvéru, čo je trieda hrozivého softvéru, ktorý šifruje dáta a požaduje platbu za ich následné dešifrovanie. Po spustení na zariadení obete zašifruje GrafGrafel množstvo súborov uložených v systéme a upraví ich názvy súborov. K pôvodným názvom súborov sa pripája jedinečné ID priradené konkrétnej obeti, e-mailová adresa kyberzločincov a prípona „.GrafGrafel“. Napríklad súbor pôvodne s názvom „1.doc“ by sa po zašifrovaní zmenil na „1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel“. GrafGrafel bol identifikovaný ako variant v rámci rodiny Phobos Ransomware .

Po dokončení procesu šifrovania GrafGrafel nasadí svoje výkupné. Jedna forma upozornenia je prezentovaná ako kontextové okno vygenerované zo súboru 'info.hta', zatiaľ čo textové súbory s názvom 'info.txt' sú umiestnené vo všetkých priečinkoch obsahujúcich šifrované údaje, ako aj na pracovnej ploche systému. Analýza správ v týchto poznámkach odhaľuje, že GrafGrafel sa špecificky zameriava skôr na spoločnosti ako na individuálnych domácich používateľov. Okrem toho používa dvojitú taktiku vydierania, čo naznačuje zvýšenú úroveň sofistikovanosti v jej stratégii.

GrafGrafel Ransomware môže tiež zhromažďovať citlivé údaje od obetí

Obsah zobrazený v kontextových aj textových súboroch je rovnaký. Oznamuje, že súbory obete boli zašifrované, s ďalšou hrozbou, že citlivé firemné údaje boli exfiltrované. Útočníci požadujú výkupné a varujú, že nedodržanie povedie k úniku ukradnutých informácií a pokračujúcej nedostupnosti uzamknutých údajov. Tieto poznámky výslovne uvádzajú riziká spojené s potenciálnymi únikmi firemných údajov. Najmä ak obeť kontaktuje kyberzločincov do šiestich hodín, výkupné sa zníži o 30 %.

Pred uskutočnením akýchkoľvek platieb sa obeti odporúča otestovať proces dešifrovania na niekoľkých malých súboroch. Hlásenia varujú pred akciami, ktoré by mohli viesť k trvalej strate údajov, ako je reštartovanie alebo vypnutie systému, úprava ovplyvnených súborov, používanie nástrojov na dešifrovanie tretích strán alebo hľadanie pomoci od spoločností alebo úradov na obnovu.

Ransomvér GrafGrafel šifruje lokálne aj sieťovo zdieľané súbory, pričom dôležité systémové súbory zostanú nedotknuté, aby sa zaistilo, že infikovaný systém zostane funkčný. Zatiaľ čo varianty Phobos Ransomware sa vyhýbajú dvojitému šifrovaniu vyňatím súborov, ktoré už boli uzamknuté iným ransomvérom, tento proces nie je bezchybný kvôli vopred určenému zoznamu výnimiek, ktorý nemusí pokrývať všetky známe malvér na šifrovanie údajov.

Varianty Phobos tiež ukončujú procesy spojené s otvorenými súbormi (napr. databázové programy, čítačky súborov atď.), čím bránia vylúčeniu šifrovania na základe toho, že súbory sa považujú za „používané“. Aby sa obnovenie ešte viac skomplikovalo, GrafGrafel vymaže tieňové kópie zväzku, čím eliminuje predvolené možnosti obnovenia. Ransomvér vytvára pretrvávanie tak, že sa skopíruje do cesty %LOCALAPPDATA% a zaregistruje sa pomocou špecifických klávesov Run, čím sa zabezpečí automatické spustenie po reštarte systému.

Okrem toho môžu byť cielené útoky Phobos, pretože malvér zhromažďuje údaje o geolokácii. Tieto informácie by sa mohli využiť na posúdenie vhodnosti rozšírenia infekcie na základe faktorov, ako sú geopolitické úvahy alebo ekonomická sila regiónu obete.

Uistite sa, že implementujete dostatočné bezpečnostné opatrenia proti malvérovým hrozbám

Používatelia môžu na svojich zariadeniach implementovať rôzne bezpečnostné opatrenia na ochranu pred útokmi škodlivého softvéru. Tu sú kľúčové odporúčania:

• Používajte antimalvérový softvér :
• Nainštalujte si profesionálny bezpečnostný softvér a udržujte ho aktuálny. Pravidelne plánujte kontroly na zistenie a odstránenie škodlivého softvéru.
• Udržujte operačné systémy aktualizované :
• Uistite sa, že operačný systém (OS) a všetky softvérové aplikácie sú aktualizované najnovšími dostupnými bezpečnostnými záplatami. Ak je to možné, povoľte automatické aktualizácie.
• Povoliť brány firewall :
• Aktivujte brány firewall na úrovni zariadenia aj siete. Firewally sú užitočné pri monitorovaní a riadení prichádzajúcej a odchádzajúcej sieťovej prevádzky a poskytujú ďalšiu vrstvu obrany.
• Buďte opatrní s e-mailovými prílohami a odkazmi :
• Buďte opatrní pri manipulácii s prílohami e-mailov alebo klikaní na odkazy, najmä ak je odosielateľ neznámy. Použite nástroje na filtrovanie e-mailov, ktoré vám pomôžu identifikovať a odfiltrovať potenciálne škodlivé e-maily.
• Používajte silné, jedinečné heslá :
• Vždy vytvorte silné a jedinečné heslá pre všetky účty. Zároveň sa uistite, že nepoužívate rovnaké heslo vo viacerých účtoch.
• Pravidelne zálohujte údaje :
• Dôležité dáta si pravidelne zálohujte na externé zariadenie alebo zabezpečenú cloudovú službu. V prípade útoku škodlivého softvéru môže mať aktuálne zálohy pomoc pri obnove stratených alebo zašifrovaných súborov.
• Zostaňte informovaní :
• Sledujte najnovšie hrozby škodlivého softvéru a osvedčené postupy zabezpečenia. Pravidelne kontrolujte aktualizácie zo zdrojov zabezpečenia a uvedomte si bežné taktiky, ktoré používajú kyberzločinci.
• Zabezpečené siete Wi-Fi :
• V domácich sieťach Wi-Fi používajte silné šifrovanie (napr. WPA3). Zmeňte predvolené heslá smerovača a pravidelne ich aktualizujte. Nepoužívajte verejné Wi-Fi na citlivé aktivity.

Kombináciou týchto bezpečnostných opatrení môžu používatelia výrazne zlepšiť svoju ochranu pred malvérom a inými kybernetickými hrozbami. Okrem toho, kultivácia myslenia uvedomujúceho si bezpečnosť a ostražitosť sú základnými aspektmi udržiavania bezpečného digitálneho prostredia.

Úplné znenie oznámenia o výkupnom predloženom obetiam GrafGrafel Ransomware je:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Čomu budete čeliť, ak sa vaše údaje dostanú na čierny trh:
Osobné údaje vašich zamestnancov a zákazníkov môžu byť použité na získanie pôžičky alebo nákupov v internetových obchodoch.
Klienti vašej spoločnosti vás môžu žalovať za únik informácií, ktoré boli dôverné.
Po tom, čo ostatní hackeri získajú osobné údaje o vašich zamestnancoch, bude na vašu firmu aplikované sociálne inžinierstvo a následné útoky sa len zintenzívnia.
Bankové údaje a pasy možno použiť na vytvorenie bankových účtov a online peňaženiek, prostredníctvom ktorých sa budú prať špinavé peniaze.
Navždy stratíte povesť.
Budete vystavení vysokým pokutám od vlády.
Viac o zodpovednosti za stratu údajov sa dozviete tu: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationalebo tu hxxps://gdpr-info.eu
Súdy, pokuty a nemožnosť používať dôležité spisy vás privedú k obrovským stratám. Dôsledky toho budú pre vás nezvratné.
Kontaktovanie polície vás týchto následkov nezachráni a strata údajov vašu situáciu len zhorší.

Ako nás kontaktovať
Napíšte nám na mail: GrafGrafel@tutanota.com
Nášho online operátora môžete kontaktovať v telegrame: @GROUNDINGCONDUCTOR (DÁVAJTE POZOR NA FAKE)
Stiahnite si (Session) messenger hxxps://getsession.org v messengeri :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Napíšte toto ID do názvu vašej správy -
AK NÁS KONTAKTUJETE DO 6 hodín a my uzavrieme obchod do 24 hodín, CENA BUDE LEN 30%.
(čas sú peniaze pre nás oboch, ak sa o náš čas postaráte vy, urobíme to isté, my sa postaráme o cenu a proces dešifrovania prebehne VEĽMI RÝCHLO)
VŠETKY STIAHNUTÉ ÚDAJE BUDÚ po zaplatení VYMAZANÉ.

Čo nerobiť a odporúčanie
Z tejto situácie sa môžete dostať s minimálnymi stratami (Naša povesť sú naše peniaze!) !!! Aby ste to dosiahli, musíte prísne dodržiavať nasledujúce pravidlá:
NEUPRAVUJTE, NEPREMENOVÁVAJTE, NEKOpírujte, NEPRESTÁVAJTE žiadne súbory. Takéto akcie ich môžu POŠKODIŤ a dešifrovanie nebude možné.
NEPOUŽÍVAJTE žiadny dešifrovací softvér tretích strán ani verejný dešifrovací softvér, môže tiež POŠKODIŤ súbory.
NEVYPÍNAJTE ani nereštartujte systém, mohlo by to POŠKODIŤ súbory.
NENAJÍMAJTE si vyjednávačov tretích strán (vymáhanie/políciu atď.). Musíte nás čo najskôr kontaktovať a začať vyjednávať.
Môžete nám poslať 1-2 malé dátové súbory bez hodnoty na test, my ich dešifrujeme a pošleme vám ich späť.
Po zaplatení nepotrebujeme viac ako 2 hodiny na dešifrovanie všetkých vašich údajov. Budeme vás podporovať až do úplného dešifrovania! ! ! (Naša povesť sú naše peniaze!)

Pokyny na kontaktovanie nášho tímu:
Stiahnite si (Session) messenger (hxxps://getsession.org) v Messengeri :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram : @GROUNDINGCONDUCTOR (DÁVAJTE SI POZOR NA FAKE)
MAIL: GrafGrafel@tutanota.com'