Програма-вимагач GrafGrafel

Дослідники ідентифікували шкідливу програму під назвою GrafGrafel. Цей тип зловмисного програмного забезпечення відноситься до категорії програм-вимагачів, класу загрозливого програмного забезпечення, яке шифрує дані та вимагає плату за їх подальше розшифровування. Після виконання на пристрої жертви GrafGrafel шифрує численні файли, що зберігаються в системі, і змінює їхні імена. До оригінальних назв файлів додається унікальний ідентифікатор, присвоєний конкретній жертві, адреса електронної пошти кіберзлочинців і розширення «.GrafGrafel». Наприклад, файл із початковою назвою «1.doc» після шифрування буде перетворено на «1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel». GrafGrafel ідентифіковано як різновид сімейства програм-вимагачів Phobos .

Після завершення процесу шифрування GrafGrafel розгортає свої нотатки про викуп. Одна з форм сповіщення представлена у вигляді спливаючого вікна, створеного з файлу 'info.hta', тоді як текстові файли з назвою 'info.txt' розміщуються в усіх папках, що містять зашифровані дані, а також на робочому столі системи. Аналіз повідомлень у цих нотатках показує, що GrafGrafel націлений саме на компанії, а не на окремих домашніх користувачів. Крім того, він використовує подвійну тактику вимагання, що вказує на підвищений рівень витонченості його стратегії.

Програмне забезпечення-вимагач GrafGrafel також може збирати конфіденційні дані від жертв

Вміст, який відображається у спливаючих і текстових файлах, ідентичний. Він повідомляє, що файли жертви були зашифровані, з додатковою загрозою, що конфіденційні дані компанії були викрадені. Зловмисники вимагають викуп, попереджаючи, що невиконання призведе до витоку вкраденої інформації та подальшої недоступності заблокованих даних. Ці примітки чітко описують ризики, пов’язані з потенційним витоком даних компанії. Примітно, що якщо жертва зв’яжеться з кіберзлочинцями протягом шестигодинного вікна, сума викупу буде зменшена на 30%.

Перш ніж здійснювати будь-які платежі, жертві рекомендується перевірити процес дешифрування на кількох невеликих файлах. Повідомлення застерігають від дій, які можуть призвести до остаточної втрати даних, як-от перезапуск або завершення роботи системи, зміна уражених файлів, використання інструментів дешифрування сторонніх розробників або звернення за допомогою до компаній або органів влади з відновлення.

Програма-вимагач GrafGrafel шифрує як локальні, так і спільні файли в мережі, при цьому критичні системні файли залишаються незмінними, щоб гарантувати, що заражена система продовжує працювати. Хоча варіанти Phobos Ransomware уникають подвійного шифрування, виключаючи файли, уже заблоковані іншими програмами-вимагачами, цей процес не є бездоганним через заздалегідь визначений список винятків, який може охоплювати не всі відомі шкідливі програми для шифрування даних.

Варіанти Phobos також припиняють процеси, пов’язані з відкритими файлами (наприклад, програми баз даних, засоби читання файлів тощо), запобігаючи виключенню шифрування на тій підставі, що файли вважаються «використовуваними». Щоб ще більше ускладнити відновлення, GrafGrafel видаляє тіньові копії томів, усуваючи параметри відновлення за замовчуванням. Програма-вимагач забезпечує стійкість, копіюючи себе в шлях %LOCALAPPDATA% і реєструючи себе за допомогою певних ключів запуску, забезпечуючи автоматичний запуск після перезавантаження системи.

Крім того, цільовими можуть бути атаки Phobos, оскільки зловмисне програмне забезпечення збирає геолокаційні дані. Ця інформація може бути використана для оцінки доцільності поширення інфекції на основі таких факторів, як геополітичні міркування або економічна потужність регіону жертви.

Обов’язково вживайте достатніх заходів безпеки проти загроз зловмисного програмного забезпечення

Користувачі можуть застосовувати різні заходи безпеки на своїх пристроях, щоб захистити їх від атак шкідливих програм. Ось основні рекомендації:

• Використовуйте програмне забезпечення для захисту від шкідливих програм :
• Встановіть професійне програмне забезпечення безпеки та оновлюйте його. Регулярно плануйте сканування для виявлення та видалення шкідливих програм.
• Оновлюйте операційні системи :
• Переконайтеся, що операційна система (ОС) і всі програмні програми оновлені останніми доступними виправленнями безпеки. Увімкніть автоматичне оновлення, коли це можливо.
• Увімкнути брандмауери :
• Активуйте брандмауери на рівні пристрою та мережі. Брандмауери корисні для моніторингу та контролю вхідного та вихідного мережевого трафіку, забезпечуючи додатковий рівень захисту.
• Будьте обережні з вкладеннями електронної пошти та посиланнями :
• Будьте обережні під час обробки вкладень електронної пошти або натискання посилань, особливо якщо відправник незнайомий. Використовуйте інструменти фільтрації електронної пошти, щоб допомогти визначити та відфільтрувати потенційно шкідливі електронні листи.
• Використовуйте надійні, унікальні паролі :
• Завжди створюйте надійні та унікальні паролі для всіх облікових записів. У той же час уникайте використання одного пароля для кількох облікових записів.
• Регулярно створюйте резервні копії даних :
• Регулярно створюйте резервні копії важливих даних на зовнішній пристрій або безпечну хмарну службу. У разі атаки зловмисного програмного забезпечення наявність оновлених резервних копій може допомогти відновити втрачені або зашифровані файли.
• Будьте в курсі :
• Слідкуйте за останніми загрозами зловмисного програмного забезпечення та передовими методами безпеки. Регулярно перевіряйте наявність оновлень із джерел безпеки та знайте про типові тактики, які використовують кіберзлочинці.
• Захищені мережі Wi-Fi :
• Використовуйте надійне шифрування (наприклад, WPA3) у домашніх мережах Wi-Fi. Змініть паролі маршрутизатора за замовчуванням і регулярно оновлюйте їх. Уникайте використання публічної мережі Wi-Fi для конфіденційних дій.

Комбінуючи ці заходи безпеки, користувачі можуть значно підвищити свій захист від шкідливих програм та інших кіберзагроз. Крім того, культивування усвідомлення безпеки та пильність є важливими аспектами збереження безпечного цифрового середовища.

Повний текст повідомлення про викуп, наданого жертвам GrafGrafel Ransomware:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

З чим ви зіткнетеся, якщо ваші дані потраплять на чорний ринок:
Особиста інформація ваших співробітників і клієнтів може бути використана для отримання кредиту або покупок в інтернет-магазинах.
Клієнти вашої компанії можуть подати на вас до суду за витік інформації, яка була конфіденційною.
Після того, як інші хакери отримають особисті дані про ваших співробітників, соціальна інженерія буде застосована до вашої компанії, і наступні атаки тільки посиляться.
Банківські реквізити та паспорти можна використовувати для створення банківських рахунків та онлайн-гаманців, через які будуть відмиватися злочинні гроші.
Ви назавжди втратите репутацію.
Ви будете піддані величезним штрафам від уряду.
Ви можете дізнатися більше про відповідальність за втрату даних тут: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationабо тут hxxps://gdpr-info.eu
Суди, штрафи і неможливість користуватися важливими файлами приведуть вас до величезних збитків. Наслідки цього для вас будуть незворотними.
Звернення до поліції не врятує вас від цих наслідків, а втрата даних лише погіршить вашу ситуацію.

Як з нами зв'язатися
Напишіть нам на пошту: GrafGrafel@tutanota.com
Ви можете зв'язатися з нашим онлайн оператором в телеграм: @GROUNDINGCONDUCTOR (БУДЬТЕ ОБЕРЕЖНІ ЩОДО ФЕЙКІВ)
Завантажте (Session) месенджер hxxps://getsession.org у месенджері: ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Напишіть цей ідентифікатор у заголовку свого повідомлення -
ЯКЩО ВИ ЗВ'ЯЖЕТЕСЯ З НАМИ ПРОТЯГОМ ПЕРШИХ 6 годин, і ми закриємо нашу угоду протягом 24 годин, ЦІНА СТАНЕ ЛИШЕ 30%.
(час – це гроші для нас обох, якщо ви подбаєте про наш час, ми зробимо те саме, ми подбаємо про ціну, а процес розшифровки буде виконано ДУЖЕ ШВИДКО)
УСІ ЗАВАНТАЖЕНІ ДАНІ БУДУТЬ ВИДАЛЕНІ після оплати.

Що не можна робити та рекомендація
З цієї ситуації можна вийти з мінімальними втратами (Наша репутація - наші гроші!) !!! Для цього необхідно суворо дотримуватися наступних правил:
НЕ Змінюйте, НЕ перейменовуйте, НЕ копіюйте, НЕ переміщуйте жодних файлів. Такі дії можуть ПОШКОДИТИ їх і розшифрувати їх буде неможливо.
НЕ використовуйте програмне забезпечення для дешифрування сторонніх розробників або загальнодоступне програмне забезпечення, воно також може ПОШКОДИТИ файли.
НЕ Вимикайте та не перезавантажуйте систему, це може ПОШКОДИТИ файли.
НЕ наймайте сторонніх переговорників (відновлення/поліція тощо). Вам потрібно зв’язатися з нами якнайшвидше та почати переговори.
Ви можете надіслати нам 1-2 файли невеликих даних для перевірки, ми розшифруємо їх і надішлемо вам назад.
Після оплати нам потрібно не більше 2 годин, щоб розшифрувати всі ваші дані. Ми будемо підтримувати вас до повного розшифрування! ! ! (Наша репутація - наші гроші!)

Інструкції щодо зв’язку з нашою командою:
Завантажте месенджер (Session) (hxxps://getsession.org) у месенджері: ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram : @GROUNDINGCONDUCTOR (БУДЬТЕ ОБЕРЕЖНІ ЩОДО ФЕЙКІВ)
ПОШТА: GrafGrafel@tutanota.com'