GrafGrafel 勒索软件
研究人员发现了一个名为 GrafGrafel 的恶意程序。此类恶意软件属于勒索软件类别,这是一类对数据进行加密并要求为其后续解密付费的威胁软件。一旦在受害者的设备上执行,GrafGrafel 就会加密系统上存储的大量文件并修改其文件名。文件的原始标题附加了分配给特定受害者的唯一 ID、网络犯罪分子的电子邮件地址以及“.GrafGrafel”扩展名。例如,最初名为“1.doc”的文件在加密后将转换为“1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel”。 GrafGrafel 已被确定为Phobos 勒索软件家族中的一个变种。
完成加密过程后,GrafGrafel 会部署其勒索票据。一种形式的通知是从“info.hta”文件生成的弹出窗口,而名为“info.txt”的文本文件则放置在包含加密数据的所有文件夹中以及系统的桌面上。对这些注释中的消息的分析表明,GrafGrafel 专门针对公司而不是个人家庭用户。此外,它还采用了双重敲诈手段,表明其策略更加复杂。
GrafGrafel 勒索软件还可能从受害者收集敏感数据
弹出窗口和文本文件中显示的内容是相同的。它表明受害者的文件已被加密,并增加了敏感公司数据已被泄露的威胁。攻击者要求赎金,并警告称,如果不遵守规定,将导致被盗信息泄露以及锁定数据持续无法访问。这些说明明确概述了与潜在公司数据泄露相关的风险。值得注意的是,如果受害者在六小时内联系网络犯罪分子,赎金金额将减少 30%。
在进行任何付款之前,建议受害者在几个小文件上测试解密过程。这些消息警告不要采取可能导致永久性数据丢失的操作,例如重新启动或关闭系统、修改受影响的文件、使用第三方解密工具或寻求恢复公司或当局的帮助。
GrafGrafel 勒索软件对本地和网络共享文件进行加密,关键系统文件不受影响,以确保受感染的系统保持运行。虽然 Phobos 勒索软件变种通过豁免已被其他勒索软件锁定的文件来避免双重加密,但由于预定的豁免列表可能不涵盖所有已知的数据加密恶意软件,因此该过程并非完美无缺。
Phobos 变体还会终止与打开文件(例如数据库程序、文件读取器等)相关的进程,从而防止以文件被视为“正在使用”为由进行加密排除。为了使恢复更加复杂,GrafGrafel 删除了卷影卷副本,从而消除了默认恢复选项。勒索软件通过将自身复制到 %LOCALAPPDATA% 路径并使用特定的运行键注册自身来建立持久性,确保在系统重新启动时自动启动。
此外,Phobos 攻击也可能成为目标,因为该恶意软件会收集地理位置数据。这些信息可用于根据地缘政治考虑或受害者所在地区的经济实力等因素评估扩大感染范围的价值。
确保针对恶意软件威胁实施足够的安全措施
用户可以在其设备上实施各种安全措施,以防范恶意软件攻击。以下是主要建议:
- 使用反恶意软件:
- 安装专业的安全软件并保持最新。定期安排扫描以检测和删除恶意软件。
- 保持操作系统更新:
- 确保操作系统 (OS) 和所有软件应用程序均已使用最新的可用安全补丁进行更新。尽可能启用自动更新。
- 启用防火墙:
- 在设备和网络级别激活防火墙。防火墙可用于监视和控制传入和传出的网络流量,提供额外的防御层。
- 请谨慎使用电子邮件附件和链接:
- 处理电子邮件附件或单击链接时要小心,尤其是在发件人不熟悉的情况下。使用电子邮件过滤工具帮助识别和过滤掉潜在的恶意电子邮件。
- 使用强而独特的密码:
- 始终为所有帐户创建强而独特的密码。同时,请确保避免在多个帐户中使用相同的密码。
- 定期备份数据:
- 定期将重要数据备份到外部设备或安全的云服务。如果发生恶意软件攻击,拥有最新的备份可以帮助恢复丢失或加密的文件。
- 随时了解情况:
- 跟踪最新的恶意软件威胁和安全最佳实践。定期检查安全来源的更新,并了解网络犯罪分子使用的常见策略。
- 安全的 Wi-Fi 网络:
- 在家庭 Wi-Fi 网络上使用强加密(例如 WPA3)。更改默认路由器密码并定期更新。避免使用公共 Wi-Fi 进行敏感活动。
通过结合这些安全措施,用户可以显着增强对恶意软件和其他网络威胁的防护。此外,培养安全意识并保持警惕是保持安全数字环境的重要方面。
向 GrafGrafel 勒索软件受害者提交的赎金票据全文如下:
'!!! ATTENTION !!!
Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.如果您的数据进入黑市,您将面临什么:
您的员工和客户的个人信息可能会用于获得贷款或在网上商店购物。
您可能会因泄露机密信息而被您公司的客户起诉。
当其他黑客获取您员工的个人数据后,社会工程将应用于您的公司,后续攻击只会加剧。
银行详细信息和护照可用于创建银行账户和在线钱包,通过这些账户和在线钱包洗钱。
你将永远失去声誉。
您将受到政府的巨额罚款。
您可以在此处了解有关数据丢失责任的更多信息:hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation 或此处 hxxps://gdpr-info.eu
法庭、罚款和无法使用重要文件都会给您带来巨大损失。这样做的后果对你来说将是不可逆转的。
联系警方并不能帮助您避免这些后果,并且丢失数据只会使您的情况变得更糟。如何联系我们
给我们写信:GrafGrafel@tutanota.com
您可以通过电报联系我们的在线运营商:@GROUNDINGCONDUCTOR(小心假货)
在messenger中下载(会话)messenger hxxps://getsession.org :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
将此 ID 写在您的消息标题中 -
如果您在前 6 小时内联系我们,我们将在 24 小时内完成交易,价格将仅为 30%。
(时间对我们俩来说就是金钱,如果您关心我们的时间,我们也会这样做,我们会关心价格,解密过程将很快完成)
所有下载的数据将在付款后删除。不该做什么和建议
您可以以最小的损失摆脱这种情况(我们的声誉就是我们的金钱!)!!!为此,您必须严格遵守以下规则:
请勿修改、请勿重命名、请勿复制、请勿移动任何文件。此类行为可能会损坏它们并且无法解密。
请勿使用任何第三方或公共解密软件,它也可能会损坏文件。
请勿关闭或重新启动系统,这可能会损坏文件。
请勿雇用任何第三方谈判人员(救援/警察等)您需要尽快联系我们并开始谈判。
您可以向我们发送1-2个小数据非价值文件进行测试,我们将解密并发回给您。
付款后,我们只需 2 小时即可解密您的所有数据。我们将支持您直到完全解密完成! ! ! (我们的声誉就是我们的金钱!)联系我们团队的说明:
在messenger中下载(会话)messenger(hxxps://getsession.org):ID“05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e”
Telrgram :@GROUNDINGCONDUCTOR(小心假货)
邮件:GrafGrafel@tutanota.com'
