GrafGrafel-Ransomware droht mit doppelter Erpressung

Bei der Untersuchung neuer Dateibeispiele entdeckte unser Forschungsteam das Schadprogramm GrafGrafel, das zur Phobos-Ransomware-Familie gehört. Diese Art von Malware verschlüsselt Daten und verlangt Lösegeld für die Entschlüsselung.

Beim Ausführen einer Probe von GrafGrafel auf unserem Testcomputer wurden Dateien verschlüsselt und ihre Dateinamen geändert. Die ursprünglichen Titel enthielten nun eine eindeutige, dem Opfer zugewiesene ID, die E-Mail-Adresse der Cyberkriminellen und die Erweiterung „.GrafGrafel“. Beispielsweise wurde eine Datei, die ursprünglich „1.jpg“ hieß, nach der Verschlüsselung in „1.jpg.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel“ umgewandelt.

Nach diesem Verschlüsselungsprozess erschienen Lösegeldforderungen in einem Popup („info.hta“) und in Textdateien („info.txt“). Die Textdateien wurden in verschlüsselten Verzeichnissen und auf dem Desktop abgelegt. Der Inhalt dieser Notizen weist darauf hin, dass GrafGrafel gezielt Unternehmen und nicht einzelne Benutzer ins Visier nimmt und dabei doppelte Erpressungstaktiken anwendet.

Sowohl die Popup- als auch die Textdateien enthalten identische Nachrichten, die besagen, dass die Dateien des Opfers verschlüsselt sind und sensible Unternehmensdaten herausgefiltert wurden. Die Angreifer fordern ein Lösegeld und drohen damit, die gestohlenen Informationen preiszugeben und die gesperrten Daten unzugänglich zu machen, wenn ihren Forderungen nicht nachgekommen wird. In den Notizen wird das Risiko von Unternehmensdatenlecks hervorgehoben und eine Reduzierung des Lösegelds um 30 % erwähnt, wenn das Opfer innerhalb von 6 Stunden Kontakt zu den Cyberkriminellen aufnimmt.

Vor der Zahlung hat das Opfer die Möglichkeit, die Entschlüsselung an einigen kleinen Dateien zu testen. Die Meldungen warnen vor Handlungen, die zu einem dauerhaften Datenverlust führen könnten, wie z. B. einem Neustart oder Herunterfahren des Systems, einem Umbenennen/Kopieren/Verschieben oder Ändern der betroffenen Dateien, der Verwendung von Entschlüsselungstools von Drittanbietern und der Kontaktaufnahme mit Wiederherstellungsunternehmen oder -behörden.

Die Lösegeldforderung von GrafGrafel umfasst mehrere Textseiten

Der vollständige Text der GrafGrafel-Lösegeldforderung lautet wie folgt:

ATTENTION

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Was auf Sie zukommt, wenn Ihre Daten auf den Schwarzmarkt gelangen:
Die persönlichen Daten Ihrer Mitarbeiter und Kunden können zur Kreditaufnahme oder zum Einkauf in Online-Shops genutzt werden.
Sie können von Kunden Ihres Unternehmens wegen der Weitergabe vertraulicher Informationen verklagt werden.
Nachdem andere Hacker persönliche Daten über Ihre Mitarbeiter erhalten haben, wird Social Engineering auf Ihr Unternehmen angewendet und nachfolgende Angriffe werden nur noch intensiver.
Mithilfe von Bankdaten und Reisepässen können Bankkonten und Online-Wallets erstellt werden, über die kriminelles Geld gewaschen wird.
Sie werden Ihren Ruf für immer verlieren.
Ihnen drohen hohe Geldstrafen seitens der Regierung.
Mehr zur Haftung bei Datenverlust erfahren Sie hier: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationoder hier hxxps://gdpr-info.eu
Gerichte, Bußgelder und die Unfähigkeit, wichtige Dateien zu nutzen, führen zu enormen Verlusten. Die Folgen davon werden für Sie irreversibel sein.
Die Kontaktaufnahme mit der Polizei wird Sie nicht vor diesen Konsequenzen bewahren, und der Verlust von Daten wird Ihre Situation nur verschlimmern.

Wie Sie uns erreichen
Schreiben Sie uns an die E-Mails: GrafGrafel@tutanota.com
Sie können unseren Online-Betreiber per Telegramm kontaktieren: @GROUNDINGCONDUCTOR (Vorsicht bei Fälschungen)
Laden Sie den (Sitzungs-)Messenger hxxps://getsession.org im Messenger herunter:ID „05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e“
Schreiben Sie diese ID in den Titel Ihrer Nachricht –
WENN SIE UNS IN DEN ERSTEN 6 Stunden KONTAKT KONTAKTIEREN und wir unser Geschäft innerhalb von 24 Stunden abschließen, BETRÄGT DER PREIS NUR 30 %.
(Zeit ist für uns beide Geld. Wenn Sie sich um unsere Zeit kümmern, werden wir das Gleiche tun, wir kümmern uns um den Preis und der Entschlüsselungsprozess wird SEHR SCHNELL durchgeführt.)
ALLE HERUNTERGELADENEN DATEN WERDEN nach der Zahlung GELÖSCHT.

Was nicht zu tun ist und Empfehlung
Sie können mit minimalen Verlusten aus dieser Situation herauskommen (Unser Ruf ist unser Geld!) !!! Dazu müssen Sie folgende Regeln unbedingt beachten:
Dateien NICHT ändern, NICHT umbenennen, NICHT kopieren, NICHT verschieben. Solche Aktionen können sie beschädigen und eine Entschlüsselung ist unmöglich.
Benutzen Sie KEINE Entschlüsselungssoftware von Drittanbietern oder öffentlich zugänglicher Software, da dies auch zu einer Beschädigung der Dateien führen kann.
Fahren Sie das System NICHT herunter oder starten Sie es nicht neu, da dies zu einer Beschädigung der Dateien führen kann.
Beauftragen Sie KEINE Verhandlungsführer Dritter (Bergung/Polizei usw.). Sie müssen uns so schnell wie möglich kontaktieren und mit den Verhandlungen beginnen.
Sie können uns 1-2 kleine Datendateien (keine Wertdateien) zum Testen zusenden, wir entschlüsseln sie und senden sie Ihnen zurück.
Nach der Zahlung benötigen wir nicht mehr als 2 Stunden, um alle Ihre Daten zu entschlüsseln. Wir unterstützen Sie bis zur vollständigen Entschlüsselung! ! ! (Unser Ruf ist unser Geld!)

Hinweise zur Kontaktaufnahme mit unserem Team:
Laden Sie den (Session) Messenger (hxxps://getsession.org) im Messenger herunter:ID „05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e“
Telrgram: @GROUNDINGCONDUCTOR (Vorsicht bei Fälschungen)
MAIL:GrafGrafel@tutanota.com

Was ist die Phobos-Familie von Ransomware-Klonen?

Phobos ist eine Familie von Ransomware, die bekanntermaßen auf Windows-Systeme abzielt. Es dient dazu, Dateien auf dem infizierten System zu verschlüsseln, sodass der Benutzer keinen Zugriff darauf hat, und verlangt dann ein Lösegeld als Gegenleistung für den Entschlüsselungsschlüssel. Die Phobos-Ransomware-Familie zeichnet sich durch die Verwendung einer bestimmten Dateierweiterung aus, die den verschlüsselten Dateien hinzugefügt wird und häufig den Namen der Ransomware-Variante widerspiegelt.

Die von Phobos übermittelten Lösegeldscheine enthalten in der Regel Anweisungen dazu, wie das Opfer das Lösegeld zahlen kann, um den Entschlüsselungsschlüssel zu erhalten. Phobos ist dafür bekannt, doppelte Erpressungstaktiken anzuwenden, bei denen es zusätzlich zur Verschlüsselung von Dateien auch sensible Daten aus dem kompromittierten System exfiltrieren kann. Die Bedrohungsakteure hinter Phobos nutzen die gestohlenen Daten dann als Druckmittel und drohen mit der Veröffentlichung, sofern das Lösegeld nicht gezahlt wird.

Es ist wichtig zu beachten, dass es innerhalb der Phobos-Ransomware-Familie viele Varianten und Klone gibt, von denen jede ihre eigenen spezifischen Merkmale und Funktionsweisen aufweist. Diese Varianten können im Laufe der Zeit von verschiedenen Cyberkriminellengruppen eingeführt oder geändert werden. Aufgrund der sich weiterentwickelnden Natur von Ransomware arbeiten Cybersicherheitsexperten und Antivirenunternehmen kontinuierlich daran, Bedrohungen im Zusammenhang mit der Phobos-Familie und anderen Ransomware-Stämmen zu erkennen und abzuschwächen. Um das Risiko und die Auswirkungen von Ransomware-Angriffen zu minimieren, sind die regelmäßige Aktualisierung der Sicherheitssoftware, die Einhaltung einer guten Cybersicherheitshygiene und die Aufrechterhaltung sicherer Backup-Praktiken unerlässlich.

Bis Zaib
December 7, 2023
Ransomware
Deutsch
December 7, 2023
Ransomware

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 5 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.