Phần mềm tống tiền GrafGrafel

Các nhà nghiên cứu đã xác định được một chương trình độc hại có tên GrafGrafel. Loại phần mềm độc hại này thuộc loại ransomware, một loại phần mềm đe dọa mã hóa dữ liệu và yêu cầu thanh toán cho lần giải mã tiếp theo. Sau khi được thực thi trên thiết bị của nạn nhân, GrafGrafel sẽ mã hóa nhiều tệp được lưu trữ trên hệ thống và sửa đổi tên tệp của chúng. Tiêu đề ban đầu của các tệp được gắn thêm một ID duy nhất được gán cho nạn nhân cụ thể, địa chỉ email của tội phạm mạng và phần mở rộng '.GrafGrafel'. Ví dụ: một tệp có tên ban đầu là '1.doc' sẽ được chuyển đổi thành '1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel' sau khi mã hóa. GrafGrafel đã được xác định là một biến thể trong họ Phobos Ransomware .

Sau khi hoàn tất quá trình mã hóa, GrafGrafel triển khai các ghi chú đòi tiền chuộc. Một dạng thông báo được hiển thị dưới dạng cửa sổ bật lên được tạo từ tệp 'info.hta', trong khi các tệp văn bản có tên 'info.txt' được đặt trong tất cả các thư mục chứa dữ liệu được mã hóa, cũng như trên màn hình của hệ thống. Phân tích các thông báo trong các ghi chú này cho thấy GrafGrafel đặc biệt nhắm mục tiêu đến các công ty hơn là người dùng gia đình cá nhân. Hơn nữa, nó sử dụng các chiến thuật tống tiền kép, cho thấy mức độ tinh vi hơn trong chiến lược của nó.

Phần mềm tống tiền GrafGrafel cũng có thể thu thập dữ liệu nhạy cảm từ nạn nhân

Nội dung hiển thị trong cả tệp văn bản và tệp bật lên đều giống hệt nhau. Nó thông báo rằng các tập tin của nạn nhân đã được mã hóa, với mối đe dọa bổ sung là dữ liệu nhạy cảm của công ty đã bị lấy cắp. Những kẻ tấn công yêu cầu một khoản tiền chuộc, cảnh báo rằng việc không tuân thủ sẽ dẫn đến việc rò rỉ thông tin bị đánh cắp và dữ liệu bị khóa tiếp tục không thể truy cập được. Những ghi chú này phác thảo rõ ràng những rủi ro liên quan đến khả năng rò rỉ dữ liệu của công ty. Đáng chú ý, nếu nạn nhân liên hệ với tội phạm mạng trong khoảng thời gian 6 giờ, số tiền chuộc sẽ giảm 30%.

Trước khi thực hiện bất kỳ khoản thanh toán nào, nạn nhân nên kiểm tra quá trình giải mã trên một số tệp nhỏ. Thông báo cảnh báo những hành động có thể dẫn đến mất dữ liệu vĩnh viễn, chẳng hạn như khởi động lại hoặc tắt hệ thống, sửa đổi các tệp bị ảnh hưởng, sử dụng công cụ giải mã của bên thứ ba hoặc tìm kiếm sự trợ giúp từ các công ty hoặc cơ quan khôi phục.

Phần mềm ransomware GrafGrafel mã hóa cả tệp cục bộ và tệp được chia sẻ trên mạng, trong đó các tệp hệ thống quan trọng vẫn không bị ảnh hưởng để đảm bảo hệ thống bị nhiễm vẫn hoạt động. Mặc dù các biến thể của Phobos Ransomware tránh mã hóa kép bằng cách miễn trừ các tệp đã bị khóa bởi phần mềm ransomware khác, nhưng quá trình này không hoàn hảo do danh sách miễn trừ được xác định trước có thể không bao gồm tất cả phần mềm độc hại mã hóa dữ liệu đã biết.

Các biến thể của Phobos cũng chấm dứt các tiến trình liên quan đến các tệp đang mở (ví dụ: chương trình cơ sở dữ liệu, trình đọc tệp, v.v.), ngăn chặn việc loại trừ mã hóa với lý do các tệp được coi là 'đang được sử dụng'. Để làm phức tạp thêm quá trình khôi phục, GrafGrafel xóa Bản sao ổ đĩa bóng, loại bỏ các tùy chọn khôi phục mặc định. Phần mềm ransomware thiết lập tính bền vững bằng cách tự sao chép vào đường dẫn %LOCALAPPDATA% và tự đăng ký bằng các phím Run cụ thể, đảm bảo tự động khởi động khi khởi động lại hệ thống.

Ngoài ra, các cuộc tấn công Phobos có thể được nhắm mục tiêu vì phần mềm độc hại thu thập dữ liệu vị trí địa lý. Thông tin này có thể được tận dụng để đánh giá mức độ xứng đáng của việc mở rộng lây nhiễm dựa trên các yếu tố như cân nhắc về địa chính trị hoặc sức mạnh kinh tế của khu vực nạn nhân.

Đảm bảo thực hiện đầy đủ các biện pháp bảo mật chống lại các mối đe dọa phần mềm độc hại

Người dùng có thể thực hiện các biện pháp bảo mật khác nhau trên thiết bị của mình để bảo vệ khỏi các cuộc tấn công của phần mềm độc hại. Dưới đây là những khuyến nghị chính:

• Sử dụng phần mềm chống phần mềm độc hại :
• Cài đặt phần mềm bảo mật chuyên nghiệp và cập nhật phần mềm đó. Thường xuyên lên lịch quét để phát hiện và loại bỏ phần mềm độc hại.
• Luôn cập nhật hệ điều hành :
• Đảm bảo rằng hệ điều hành (OS) và tất cả các ứng dụng phần mềm được cập nhật với các bản vá bảo mật mới nhất hiện có. Bật cập nhật tự động khi có thể.
• Kích hoạt tường lửa :
• Kích hoạt tường lửa ở cả cấp độ thiết bị và mạng. Tường lửa rất hữu ích trong việc giám sát và kiểm soát lưu lượng mạng đến và đi, cung cấp thêm một lớp phòng thủ.
• Thận trọng với các tệp đính kèm và liên kết email :
• Hãy thận trọng khi xử lý các tệp đính kèm email hoặc nhấp vào liên kết, đặc biệt nếu người gửi không quen thuộc. Sử dụng các công cụ lọc email để giúp xác định và lọc ra các email độc hại tiềm ẩn.
• Sử dụng mật khẩu mạnh, độc đáo :
• Luôn tạo mật khẩu mạnh và duy nhất cho tất cả các tài khoản. Đồng thời, đảm bảo tránh sử dụng cùng một mật khẩu cho nhiều tài khoản.
• Backup dữ liệu thường xuyên :
• Thường xuyên sao lưu dữ liệu quan trọng vào thiết bị bên ngoài hoặc dịch vụ đám mây an toàn. Trong trường hợp bị phần mềm độc hại tấn công, việc có bản sao lưu cập nhật có thể giúp khôi phục các tệp bị mất hoặc bị mã hóa.
• Thông báo lưu trú :
• Theo dõi các mối đe dọa phần mềm độc hại mới nhất và các biện pháp bảo mật tốt nhất. Thường xuyên kiểm tra các bản cập nhật từ các nguồn bảo mật và lưu ý các chiến thuật phổ biến được tội phạm mạng sử dụng.
• Mạng Wi-Fi an toàn :
• Sử dụng mã hóa mạnh (ví dụ: WPA3) trên mạng Wi-Fi gia đình. Thay đổi mật khẩu mặc định của bộ định tuyến và thường xuyên cập nhật chúng. Tránh sử dụng Wi-Fi công cộng cho các hoạt động nhạy cảm.

Bằng cách kết hợp các biện pháp bảo mật này, người dùng có thể tăng cường đáng kể khả năng bảo vệ chống lại phần mềm độc hại và các mối đe dọa mạng khác. Ngoài ra, nuôi dưỡng tư duy có ý thức về bảo mật và luôn cảnh giác là những khía cạnh thiết yếu để giữ một môi trường kỹ thuật số an toàn.

Toàn văn thông báo đòi tiền chuộc được gửi tới các nạn nhân của GrafGrafel Ransomware là:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Bạn sẽ phải đối mặt với những gì nếu dữ liệu của bạn bị tung ra thị trường chợ đen:
Thông tin cá nhân của nhân viên và khách hàng của bạn có thể được sử dụng để vay tiền hoặc mua hàng trong các cửa hàng trực tuyến.
Bạn có thể bị khách hàng của công ty bạn kiện vì đã làm rò rỉ thông tin bí mật.
Sau khi các tin tặc khác lấy được dữ liệu cá nhân về nhân viên của bạn, kỹ thuật xã hội sẽ được áp dụng cho công ty của bạn và các cuộc tấn công tiếp theo sẽ chỉ gia tăng.
Thông tin chi tiết về ngân hàng và hộ chiếu có thể được sử dụng để tạo tài khoản ngân hàng và ví trực tuyến để rửa tiền phạm tội.
Bạn sẽ mãi mãi mất đi danh tiếng.
Bạn sẽ phải chịu mức phạt rất lớn từ chính phủ.
Bạn có thể tìm hiểu thêm về trách nhiệm pháp lý đối với việc mất dữ liệu tại đây: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationhoặc tại đây hxxps://gdpr-info.eu
Tòa án, tiền phạt và việc không thể sử dụng các tập tin quan trọng sẽ khiến bạn thua lỗ rất lớn. Hậu quả của việc này sẽ không thể khắc phục được đối với bạn.
Liên hệ với cảnh sát sẽ không cứu bạn khỏi những hậu quả này và việc mất dữ liệu sẽ chỉ khiến tình hình của bạn trở nên tồi tệ hơn.

Liên lạc với chúng tôi bằng cách nào
Viết thư cho chúng tôi: GrafGrafel@tutanota.com
Bạn có thể liên hệ với nhà điều hành trực tuyến của chúng tôi bằng telegram: @GROUNDINGCONDUCTOR (HÃY CẨN THẬN VỀ GIẢ)
Tải xuống trình nhắn tin (Phiên) hxxps://getsession.org trong Messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Viết ID này vào tiêu đề tin nhắn của bạn -
NẾU BẠN SẼ LIÊN HỆ VỚI CHÚNG TÔI TRONG 6 giờ ĐẦU TIÊN và chúng tôi chốt giao dịch sau 24 giờ, GIÁ SẼ CHỈ 30%.
(thời gian là tiền bạc cho cả hai chúng ta, nếu bạn quan tâm đến thời gian của chúng tôi, chúng tôi cũng sẽ làm như vậy, chúng tôi sẽ quan tâm đến giá cả và quá trình giải mã sẽ được thực hiện RẤT NHANH CHÓNG)
TẤT CẢ DỮ LIỆU TẢI XUỐNG SẼ BỊ XÓA sau khi thanh toán.

Những điều không nên làm và khuyến nghị
Bạn có thể thoát khỏi tình huống này với tổn thất tối thiểu (Danh tiếng của chúng tôi là tiền của chúng tôi!) !!! Để làm điều này, bạn phải tuân thủ nghiêm ngặt các quy tắc sau:
KHÔNG sửa đổi, KHÔNG đổi tên, KHÔNG sao chép, KHÔNG di chuyển bất kỳ tập tin nào. Những hành động như vậy có thể làm THIỆT HẠI chúng và việc giải mã sẽ không thể thực hiện được.
KHÔNG sử dụng bất kỳ phần mềm giải mã công cộng hoặc bên thứ ba nào, nó cũng có thể làm HƯ HỎNG các tệp.
KHÔNG Tắt máy hoặc Khởi động lại hệ thống, điều này có thể làm hư hỏng các tập tin.
KHÔNG thuê bất kỳ nhà đàm phán bên thứ ba nào (phục hồi/cảnh sát, v.v.) Bạn cần liên hệ với chúng tôi càng sớm càng tốt và bắt đầu đàm phán.
Bạn có thể gửi cho chúng tôi 1-2 tệp dữ liệu nhỏ không có giá trị để kiểm tra, chúng tôi sẽ giải mã và gửi lại cho bạn.
Sau khi thanh toán, chúng tôi không cần quá 2 giờ để giải mã tất cả dữ liệu của bạn. Chúng tôi sẽ hỗ trợ bạn cho đến khi quá trình giải mã hoàn toàn được thực hiện! ! ! (Danh tiếng của chúng tôi là tiền của chúng tôi!)

Hướng dẫn liên hệ với nhóm của chúng tôi:
Tải xuống trình nhắn tin (Phiên) (hxxps://getsession.org) trong trình nhắn tin :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram : @GROUNDINGCONDUCTOR (HÃY CẨN THẬN VỀ GIẢ)
THƯ:GrafGrafel@tutanota.com'