GrafGrafel 勒索軟體
研究人員發現了一個名為 GrafGrafel 的惡意程式。此類惡意軟體屬於勒索軟體類別,這是一類對資料進行加密並要求為其後續解密付費的威脅軟體。一旦在受害者的裝置上執行,GrafGrafel 就會加密系統上儲存的大量檔案並修改其檔案名稱。檔案的原始標題附加了分配給特定受害者的唯一 ID、網路犯罪分子的電子郵件地址以及「.GrafGrafel」副檔名。例如,最初名為「1.doc」的檔案在加密後將轉換為「1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel」。 GrafGrafel 已被確定為Phobos 勒索軟體家族中的一個變種。
完成加密過程後,GrafGrafel 會部署其勒索記錄。一種形式的通知是從「info.hta」檔案產生的彈出窗口,而名為「info.txt」的文字檔案則放置在包含加密資料的所有資料夾中以及系統的桌面上。對這些註釋中的消息的分析表明,GrafGrafel 專門針對公司而不是個人家庭用戶。此外,它還採用了雙重敲詐手段,顯示其策略更加複雜。
GrafGrafel 勒索軟體也可能從受害者收集敏感數據
彈出視窗和文字檔案中顯示的內容是相同的。它表明受害者的文件已被加密,並增加了敏感公司資料已洩露的威脅。攻擊者要求贖金,並警告稱,如果不遵守規定,將導致被盜資訊洩露以及鎖定資料持續無法存取。這些說明明確概述了與潛在公司資料外洩相關的風險。值得注意的是,如果受害者在六小時內聯繫網路犯罪分子,贖金金額將減少 30%。
在進行任何付款之前,建議受害者在一些小文件上測試解密過程。這些訊息警告不要採取可能導致永久性資料遺失的操作,例如重新啟動或關閉系統、修改受影響的文件、使用第三方解密工具或尋求恢復公司或當局的協助。
GrafGrafel 勒索軟體對本機和網路共享檔案進行加密,關鍵系統檔案不受影響,以確保受感染的系統保持運作。雖然 Phobos 勒索軟體變種透過豁免已被其他勒索軟體鎖定的檔案來避免雙重加密,但由於預定的豁免清單可能不涵蓋所有已知的資料加密惡意軟體,因此該過程並非完美無缺。
Phobos 變體還終止與開啟檔案(例如資料庫程式、檔案讀取器等)相關的進程,從而防止因檔案被視為「正在使用」而排除在外。為了使恢復更加複雜,GrafGrafel 刪除了卷影卷副本,從而消除了預設恢復選項。勒索軟體透過將自身複製到 %LOCALAPPDATA% 路徑並使用特定的運行鍵註冊自身來建立持久性,確保在系統重新啟動時自動啟動。
此外,Phobos 攻擊也可能成為目標,因為該惡意軟體會收集地理位置資料。可以利用這些資訊來根據地緣政治考量或受害者地區的經濟實力等因素評估擴大感染範圍的價值。
確保針對惡意軟體威脅實施足夠的安全措施
使用者可在其裝置上實施各種安全措施,以防範惡意軟體攻擊。以下是主要建議:
- 使用反惡意軟體:
- 安裝專業的安全軟體並保持最新。定期安排掃描以偵測和移除惡意軟體。
- 保持作業系統更新:
- 確保作業系統 (OS) 和所有軟體應用程式均已使用最新的可用安全性修補程式進行更新。盡可能啟用自動更新。
- 啟用防火牆:
- 在設備和網路層級啟動防火牆。防火牆可用於監視和控制傳入和傳出的網路流量,提供額外的防禦層。
- 請謹慎使用電子郵件附件和連結:
- 處理電子郵件附件或點擊連結時要小心,尤其是在寄件者不熟悉的情況下。使用電子郵件過濾工具可協助識別和過濾掉潛在的惡意電子郵件。
- 使用強而獨特的密碼:
- 始終為所有帳戶建立強而獨特的密碼。同時,請確保避免在多個帳戶中使用相同的密碼。
- 定期備份資料:
- 定期將重要資料備份到外部裝置或安全的雲端服務。如果發生惡意軟體攻擊,擁有最新的備份可以幫助恢復遺失或加密的檔案。
- 隨時了解狀況:
- 追蹤最新的惡意軟體威脅和安全最佳實踐。定期檢查安全來源的更新,並了解網路犯罪分子使用的常見策略。
- 安全的 Wi-Fi 網路:
- 在家庭 Wi-Fi 網路上使用強加密(例如 WPA3)。變更預設路由器密碼並定期更新。避免使用公共 Wi-Fi 進行敏感活動。
透過結合這些安全措施,使用者可以大幅增強對惡意軟體和其他網路威脅的防護。此外,培養安全意識並保持警覺是保持安全數位環境的重要方面。
向 GrafGrafel 勒索軟體受害者提交的贖金票據全文如下:
'!!! ATTENTION !!!
Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.如果您的資料進入黑市,您將面臨什麼:
您的員工和客戶的個人資訊可能會用於獲得貸款或在網上商店購物。
您可能會因洩漏機密資訊而被您公司的客戶起訴。
當其他駭客取得您員工的個人資料後,社會工程將應用於您的公司,後續攻擊只會加劇。
銀行詳細資料和護照可用於建立銀行帳戶和線上錢包,透過這些帳戶和線上錢包洗錢。
你將永遠失去聲譽。
您將受到政府的巨額罰款。
您可以在此處了解有關資料遺失責任的更多資訊:hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation 或這裡 hxxps://gdpr-info.eu
法庭、罰款和無法使用重要文件都會對您造成巨大損失。這樣做的後果對你來說將是不可逆轉的。
聯繫警方並不能幫助您避免這些後果,而遺失資料只會使您的情況變得更糟。如何聯絡我們
寫信給我們:GrafGrafel@tutanota.com
您可以透過電報聯絡我們的線上營運商:@GROUNDINGCONDUCTOR(小心假貨)
在messenger下載(會話)messenger hxxps://getsession.org :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
將此 ID 寫在您的訊息標題中 -
如果您在前 6 小時內聯絡我們,我們將在 24 小時內完成交易,價格將僅為 30%。
(時間對我們倆來說就是金錢,如果您關心我們的時間,我們也會這樣做,我們會關心價格,解密過程很快就會完成)
所有下載的資料將在付款後刪除。不該做什麼和建議
您可以以最少的損失擺脫這種情況(我們的聲譽就是我們的金錢!)!!!為此,您必須嚴格遵守以下規則:
請勿修改、請勿重新命名、請勿複製、請勿移動任何檔案。此類行為可能會損壞它們並且無法解密。
請勿使用任何第三方或公共解密軟體,它也可能會損壞檔案。
請勿關閉或重新啟動系統,這可能會損壞檔案。
請勿僱用任何第三方談判人員(救援/警察等)您需要盡快聯絡我們並開始談判。
您可以向我們發送1-2個小資料非價值檔案進行測試,我們將解密並發回給您。
付款後,我們只需 2 小時即可解密您的所有資料。我們將支援您直到完全解密完成! ! ! (我們的聲譽就是我們的金錢!)聯絡我們團隊的說明:
在messenger下載(會話)messenger(hxxps://getsession.org):ID“05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e”
Telrgram :@GROUNDINGCONDUCTOR(小心假貨)
電子郵件:GrafGrafel@tutanota.com'
