GrafGrafel Ransomware menace une double extorsion

En examinant de nouveaux échantillons de fichiers, notre équipe de recherche a découvert le programme malveillant GrafGrafel, appartenant à la famille des ransomwares Phobos. Ce type de malware crypte les données et exige des rançons pour le décryptage.

Lors de l'exécution d'un échantillon de GrafGrafel sur notre machine de test, il a crypté les fichiers et modifié leurs noms de fichiers. Les titres originaux incluaient désormais un identifiant unique attribué à la victime, l'adresse e-mail des cybercriminels et une extension « .GrafGrafel ». Par exemple, un fichier initialement nommé « 1.jpg » transformé en « 1.jpg.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel » après cryptage.

Suite à ce processus de cryptage, les demandes de rançon sont apparues dans une fenêtre contextuelle (« info.hta ») et dans des fichiers texte (« info.txt »). Les fichiers texte ont été déposés dans des répertoires cryptés et sur le bureau. Le contenu de ces notes indique que GrafGrafel cible spécifiquement les entreprises plutôt que les utilisateurs individuels, en recourant à des tactiques de double extorsion.

Les fichiers contextuels et texte contiennent des messages identiques, indiquant que les fichiers de la victime sont cryptés et que les données sensibles de l'entreprise ont été exfiltrées. Les attaquants exigent une rançon, menaçant de divulguer les informations volées et de garder les données verrouillées inaccessibles si leurs demandes ne sont pas satisfaites. Les notes soulignent le risque de fuite des données de l'entreprise et mentionnent une réduction de 30 % de la rançon si la victime contacte les cybercriminels dans les 6 heures.

Avant d'effectuer le paiement, la victime a la possibilité de tester le décryptage de quelques petits fichiers. Les messages mettent en garde contre les actions qui pourraient entraîner une perte permanente de données, telles que le redémarrage ou l'arrêt du système, le renommage/copie/déplacement ou modification des fichiers concernés, l'utilisation d'outils de décryptage tiers et le contact avec des sociétés ou des autorités de récupération.

La note de rançon GrafGrafel s'étend sur plusieurs pages de texte

Le texte complet de la demande de rançon GrafGrafel se lit comme suit :

ATTENTION

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Ce à quoi vous serez confronté si vos données arrivent sur le marché noir :
Les informations personnelles de vos employés et clients pourront être utilisées pour obtenir un prêt ou des achats dans les boutiques en ligne.
Vous pourriez être poursuivi par des clients de votre entreprise pour avoir divulgué des informations confidentielles.
Une fois que d’autres pirates auront obtenu des données personnelles sur vos employés, l’ingénierie sociale sera appliquée à votre entreprise et les attaques ultérieures ne feront que s’intensifier.
Les coordonnées bancaires et les passeports peuvent être utilisés pour créer des comptes bancaires et des portefeuilles en ligne via lesquels l’argent du crime sera blanchi.
Vous perdrez à jamais la réputation.
Vous serez passible d'énormes amendes de la part du gouvernement.
Vous pouvez en savoir plus sur la responsabilité en cas de perte de données ici : hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationou ici hxxps://gdpr-info.eu
Les tribunaux, les amendes et l’impossibilité d’utiliser des fichiers importants vous entraîneront à d’énormes pertes. Les conséquences en seront irréversibles pour vous.
Contacter la police ne vous épargnera pas ces conséquences, et la perte de données ne fera qu'aggraver votre situation.

Comment nous contacter
Écrivez-nous aux mails : GrafGrafel@tutanota.com
Vous pouvez contacter notre opérateur en ligne par télégramme : @GROUNDINGCONDUCTOR (ATTENTION AUX FAUX)
Téléchargez le messager (Session) hxxps://getsession.org dans Messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Écrivez cet identifiant dans le titre de votre message -
SI VOUS NOUS CONTACTEZ DANS LES 6 PREMIÈRES heures et que nous concluons notre transaction dans les 24 heures, LE PRIX SERA SEULEMENT 30 %.
(le temps, c'est de l'argent pour nous deux, si vous prenez soin de notre temps, nous ferons de même, nous nous occuperons du prix et le processus de décryptage sera effectué TRÈS RAPIDEMENT)
TOUTES LES DONNÉES TÉLÉCHARGÉES SERONT SUPPRIMÉES après le paiement.

Ce qu'il ne faut pas faire et recommandation
Vous pouvez sortir de cette situation avec des pertes minimes (Notre réputation, c'est notre argent !) !!! Pour ce faire, vous devez respecter strictement les règles suivantes :
NE PAS modifier, NE PAS renommer, NE PAS copier, NE PAS déplacer de fichiers. De telles actions pourraient les ENDOMMAGER et le décryptage serait impossible.
N'utilisez PAS de logiciel de décryptage tiers ou public, cela pourrait également ENDOMMAGER les fichiers.
NE PAS arrêter ou redémarrer le système, cela pourrait ENDOMMAGER les fichiers.
N'engagez PAS de négociateurs tiers (récupération/police, etc.). Vous devez nous contacter dès que possible et entamer les négociations.
Vous pouvez nous envoyer 1 à 2 petits fichiers de données sans valeur pour test, nous les décrypterons et vous les renverrons.
Après le paiement, nous n'avons pas besoin de plus de 2 heures pour décrypter toutes vos données. Nous vous accompagnerons jusqu’à ce que le décryptage complet soit effectué ! ! ! (Notre réputation, c'est notre argent !)

Instructions pour contacter notre équipe :
Téléchargez le messager (de session) (hxxps://getsession.org) dans Messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram : @GROUNDINGCONDUCTOR (ATTENTION AUX FAUX)
COURRIEL :GrafGrafel@tutanota.com

Qu’est-ce que la famille Phobos de clones de ransomwares ?

Phobos est une famille de ransomware connue pour cibler les systèmes Windows. Il est conçu pour crypter les fichiers du système infecté, les rendant inaccessibles à l'utilisateur, puis exige une rançon en échange de la clé de décryptage. La famille des ransomwares Phobos se caractérise par l’utilisation d’une extension de fichier spécifique ajoutée aux fichiers cryptés, reflétant souvent le nom de la variante du ransomware.

Les notes de rançon délivrées par Phobos contiennent généralement des instructions sur la manière dont la victime peut payer la rançon pour obtenir la clé de déchiffrement. Phobos est connu pour employer des tactiques de double extorsion, où, en plus de chiffrer des fichiers, il peut exfiltrer des données sensibles du système compromis. Les acteurs malveillants derrière Phobos utilisent ensuite les données volées comme levier, menaçant de les publier à moins que la rançon ne soit payée.

Il est important de noter qu'il existe de nombreuses variantes et clones au sein de la famille des ransomwares Phobos, chacun avec ses propres caractéristiques et méthodes de fonctionnement. Ces variantes peuvent être introduites ou modifiées au fil du temps par différents groupes cybercriminels. En raison de la nature évolutive des ransomwares, les experts en cybersécurité et les sociétés antivirus s'efforcent continuellement de détecter et d'atténuer les menaces associées à la famille Phobos et à d'autres souches de ransomwares. La mise à jour régulière des logiciels de sécurité, la pratique d’une bonne hygiène de cybersécurité et le maintien de pratiques de sauvegarde sécurisées sont essentiels pour minimiser le risque et l’impact des attaques de ransomwares.

Par Zaib
December 7, 2023
Ransomware
Français
December 7, 2023
Ransomware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.