GrafGrafel Ransomware amenaza con doble extorsión

Al examinar nuevas muestras de archivos, nuestro equipo de investigación descubrió el programa malicioso GrafGrafel, perteneciente a la familia de ransomware Phobos. Este tipo de malware cifra datos y exige rescates por descifrarlos.

Al ejecutar una muestra de GrafGrafel en nuestra máquina de prueba, cifró archivos y modificó sus nombres. Los títulos originales ahora incluían una identificación única asignada a la víctima, la dirección de correo electrónico de los ciberdelincuentes y una extensión ".GrafGrafel". Por ejemplo, un archivo inicialmente llamado "1.jpg" se transformó en "1.jpg.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel" después del cifrado.

Después de este proceso de cifrado, aparecieron notas de rescate en una ventana emergente ("info.hta") y archivos de texto ("info.txt"). Los archivos de texto se depositaron en directorios cifrados y en el escritorio. El contenido de estas notas indica que GrafGrafel se dirige específicamente a empresas y no a usuarios individuales, empleando tácticas de doble extorsión.

Tanto la ventana emergente como los archivos de texto contienen mensajes idénticos, que indican que los archivos de la víctima están cifrados y que se han extraído datos confidenciales de la empresa. Los atacantes exigen un rescate y amenazan con filtrar la información robada y mantener inaccesibles los datos bloqueados si no se cumplen sus demandas. Las notas enfatizan el riesgo de filtración de datos de la empresa y mencionan una reducción del 30% en el rescate si la víctima contacta a los ciberdelincuentes dentro de las 6 horas.

Antes de realizar el pago, la víctima tiene la opción de probar el descifrado de algunos archivos pequeños. Los mensajes advierten contra acciones que podrían resultar en una pérdida permanente de datos, como reiniciar o apagar el sistema, cambiar el nombre/copiar/mover o modificar los archivos afectados, usar herramientas de descifrado de terceros y comunicarse con empresas o autoridades de recuperación.

La nota de rescate de GrafGrafel abarca varias páginas de texto

El texto completo de la nota de rescate de GrafGrafel dice lo siguiente:

ATTENTION

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

A qué se enfrentará si sus datos llegan al mercado negro:
La información personal de sus empleados y clientes podrá ser utilizada para obtener un préstamo o compras en tiendas en línea.
Los clientes de su empresa pueden demandarlo por filtrar información que era confidencial.
Después de que otros piratas informáticos obtengan datos personales sobre sus empleados, se aplicará ingeniería social a su empresa y los ataques posteriores solo se intensificarán.
Los datos bancarios y los pasaportes se pueden utilizar para crear cuentas bancarias y billeteras en línea a través de las cuales se lavará dinero criminal.
Perderás la reputación para siempre.
Estará sujeto a enormes multas por parte del gobierno.
Puede obtener más información sobre la responsabilidad por la pérdida de datos aquí: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation o aquí hxxps://gdpr-info.eu
Los tribunales, las multas y la imposibilidad de utilizar archivos importantes le provocarán enormes pérdidas. Las consecuencias de esto serán irreversibles para usted.
Contactar a la policía no lo salvará de estas consecuencias y la pérdida de datos solo empeorará su situación.

Cómo contactarnos
Escríbenos a los correos: GrafGrafel@tutanota.com
Puede contactar con nuestro operador online en Telegram: @GROUNDINGCONDUCTOR (TENGA CUIDADO CON LAS FALSAS)
Descargue el messenger (Sesión) hxxps://getsession.org en messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Escriba este ID en el título de su mensaje -
SI SE CONTACTA CON NOSOTROS EN LAS PRIMERAS 6 horas y cerramos nuestro trato en 24 horas, EL PRECIO SERÁ SÓLO EL 30%.
(El tiempo es dinero para ambos, si usted se preocupa por nuestro tiempo, nosotros haremos lo mismo, nos preocuparemos del precio y el proceso de descifrado se realizará MUY RÁPIDO)
TODOS LOS DATOS DESCARGADOS SERÁN ELIMINADOS después del pago.

Qué no hacer y recomendación.
¡¡¡Puedes salir de esta situación con pérdidas mínimas (¡¡¡Nuestra reputación es nuestro dinero!) !!! Para ello debes observar estrictamente las siguientes reglas:
NO modifique, NO cambie el nombre, NO copie, NO mueva ningún archivo. Tales acciones pueden DAÑARLOS y el descifrado será imposible.
NO utilice ningún software de descifrado público o de terceros, ya que también puede DAÑAR los archivos.
NO apague ni reinicie el sistema, esto puede DAÑAR los archivos.
NO contrate a ningún negociador externo (recuperación/policía, etc.). Debe comunicarse con nosotros lo antes posible e iniciar las negociaciones.
Puede enviarnos 1 o 2 archivos pequeños de datos, no de valores, para probarlos, los descifraremos y se los enviaremos de regreso.
Después del pago, no necesitamos más de 2 horas para descifrar todos sus datos. ¡Lo apoyaremos hasta que se complete el descifrado! ! ! (¡Nuestra reputación es nuestro dinero!)

Instrucciones para contactar con nuestro equipo:
Descargue el messenger (sesión) (hxxps://getsession.org) en messenger: ID "05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram: @GROUNDINGCONDUCTOR (TENGA CUIDADO CON LAS FALSAS)
CORREO: GrafGrafel@tutanota.com

¿Qué es la familia Phobos de clones de ransomware?

Phobos es una familia de ransomware que se sabe que ataca a los sistemas Windows. Está diseñado para cifrar archivos en el sistema infectado, haciéndolos inaccesibles para el usuario, y luego exige un rescate a cambio de la clave de descifrado. La familia de ransomware Phobos se caracteriza por el uso de una extensión de archivo específica agregada a los archivos cifrados, que a menudo refleja el nombre de la variante del ransomware.

Las notas de rescate entregadas por Phobos suelen contener instrucciones sobre cómo la víctima puede pagar el rescate para obtener la clave de descifrado. Phobos es conocido por emplear tácticas de doble extorsión, donde, además de cifrar archivos, puede extraer datos confidenciales del sistema comprometido. Los actores de amenazas detrás de Phobos luego utilizan los datos robados como palanca y amenazan con publicarlos a menos que se pague el rescate.

Es importante tener en cuenta que existen muchas variantes y clones dentro de la familia de ransomware Phobos, cada uno con sus propias características y métodos de operación específicos. Estas variantes pueden ser introducidas o modificadas con el tiempo por diferentes grupos de ciberdelincuentes. Debido a la naturaleza cambiante del ransomware, los expertos en ciberseguridad y las empresas de antivirus trabajan continuamente para detectar y mitigar las amenazas asociadas con la familia Phobos y otras cepas de ransomware. Actualizar periódicamente el software de seguridad, practicar una buena higiene en ciberseguridad y mantener prácticas de respaldo seguras son esenciales para minimizar el riesgo y el impacto de los ataques de ransomware.

En Zaib
December 7, 2023
Ransomware
Spanish
December 7, 2023
Ransomware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 5 days

Troyano Al11 Detección de malware

Hace 11 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.