Il ransomware GrafGrafel minaccia una doppia estorsione

Esaminando nuovi campioni di file, il nostro team di ricerca ha scoperto il programma dannoso GrafGrafel, appartenente alla famiglia di ransomware Phobos. Questo tipo di malware crittografa i dati e richiede un riscatto per la decrittazione.

Dopo aver eseguito un campione di GrafGrafel sulla nostra macchina di prova, ha crittografato i file e modificato i loro nomi. I titoli originali ora includevano un ID univoco assegnato alla vittima, l'indirizzo e-mail dei criminali informatici e l'estensione ".GrafGrafel". Ad esempio, un file inizialmente denominato "1.jpg" si è trasformato in "1.jpg.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel" dopo la crittografia.

Dopo questo processo di crittografia, le richieste di riscatto apparivano in un pop-up ("info.hta") e in file di testo ("info.txt"). I file di testo venivano depositati in directory crittografate e sul desktop. Il contenuto di queste note indica che GrafGrafel prende di mira specificamente le aziende piuttosto che i singoli utenti, utilizzando tattiche di doppia estorsione.

Sia i file pop-up che quelli di testo contengono messaggi identici, in cui si afferma che i file della vittima sono crittografati e che i dati aziendali sensibili sono stati esfiltrati. Gli aggressori chiedono un riscatto, minacciando di divulgare le informazioni rubate e di mantenere inaccessibili i dati bloccati se le loro richieste non vengono soddisfatte. Le note sottolineano il rischio di fuga di dati aziendali e menzionano una riduzione del 30% del riscatto se la vittima contatta i criminali informatici entro 6 ore.

Prima di effettuare il pagamento, la vittima ha la possibilità di testare la decrittazione su alcuni piccoli file. I messaggi mettono in guardia contro azioni che potrebbero comportare la perdita permanente di dati, come il riavvio o l'arresto del sistema, la ridenominazione/copia/spostamento o la modifica dei file interessati, l'utilizzo di strumenti di decrittazione di terze parti e il contatto con società o autorità di recupero.

La nota di riscatto GrafGrafel si estende su più pagine di testo

Il testo completo della richiesta di riscatto di GrafGrafel recita come segue:

ATTENTION

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Cosa dovrai affrontare se i tuoi dati finiscono sul mercato nero:
Le informazioni personali dei tuoi dipendenti e clienti potrebbero essere utilizzate per ottenere un prestito o acquisti nei negozi online.
Potresti essere citato in giudizio dai clienti della tua azienda per aver divulgato informazioni riservate.
Dopo che altri hacker ottengono dati personali sui tuoi dipendenti, alla tua azienda verrà applicata l'ingegneria sociale e gli attacchi successivi non potranno che intensificarsi.
Le coordinate bancarie e i passaporti possono essere utilizzati per creare conti bancari e portafogli online attraverso i quali verrà riciclato il denaro criminale.
Perderai per sempre la reputazione.
Sarai soggetto a enormi multe da parte del governo.
Puoi saperne di più sulla responsabilità per la perdita di dati qui: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation o qui hxxps://gdpr-info.eu
Tribunali, multe e l'impossibilità di utilizzare file importanti ti porteranno a perdite enormi. Le conseguenze di ciò saranno irreversibili per te.
Contattare la polizia non ti salverà da queste conseguenze e la perdita di dati non farà altro che peggiorare la tua situazione.

Come contattarci
Scrivici alle mail: GrafGrafel@tutanota.com
Puoi contattare il nostro operatore online in telegram: @GROUNDINGCONDUCTOR (ATTENZIONE AI FALSI)
Scarica il messenger (Sessione) hxxps://getsession.org in messenger:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Scrivi questo ID nel titolo del tuo messaggio -
SE CI CONTATTACI ENTRO LE PRIME 6 ore e chiudiamo l'affare in 24 ore, IL PREZZO SARÀ SOLO DEL 30%.
(il tempo è denaro per entrambi, se ti prenderai cura del nostro tempo, noi faremo lo stesso, ci occuperemo del prezzo e il processo di decrittazione sarà fatto MOLTO VELOCEMENTE)
TUTTI I DATI SCARICATI VERRANNO CANCELLATI dopo il pagamento.

Cosa non fare e raccomandazione
Puoi uscire da questa situazione con perdite minime (La nostra reputazione è il nostro denaro!) !!! Per fare ciò è necessario osservare rigorosamente le seguenti regole:
NON modificare, NON rinominare, NON copiare, NON spostare alcun file. Tali azioni potrebbero DANNEGGIARLI e la decrittazione sarà impossibile.
NON utilizzare software di decrittazione pubblico o di terze parti, potrebbe anche DANNEGGIARE i file.
NON spegnere o riavviare il sistema perché ciò potrebbe DANNEGGIARE i file.
NON assumere negoziatori di terze parti (recupero/polizia, ecc.). È necessario contattarci il prima possibile e avviare le negoziazioni.
Puoi inviarci 1-2 piccoli file di dati non di valore per il test, li decodificheremo e te li rispediremo.
Dopo il pagamento non avremo bisogno di più di 2 ore per decrittografare tutti i tuoi dati. Ti supporteremo fino al completamento della decrittazione! ! ! (La nostra reputazione è il nostro denaro!)

Istruzioni per contattare il nostro team:
Scarica il messenger (Sessione) (hxxps://getsession.org) in messenger:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram: @GROUNDINGCONDUCTOR (ATTENZIONE AI FALSI)
MAIL:GrafGrafel@tutanota.com

Cos'è la famiglia Phobos di cloni ransomware?

Phobos è una famiglia di ransomware nota per prendere di mira i sistemi Windows. È progettato per crittografare i file sul sistema infetto, rendendoli inaccessibili all'utente, e quindi richiede un riscatto in cambio della chiave di decrittazione. La famiglia di ransomware Phobos è caratterizzata dall'uso di un'estensione di file specifica aggiunta ai file crittografati, che spesso riflette il nome della variante del ransomware.

Le richieste di riscatto consegnate da Phobos in genere contengono istruzioni su come la vittima può pagare il riscatto per ottenere la chiave di decrittazione. Phobos è noto per l'utilizzo di tattiche di doppia estorsione con le quali, oltre a crittografare i file, può esfiltrare dati sensibili dal sistema compromesso. Gli autori delle minacce dietro Phobos utilizzano quindi i dati rubati come leva, minacciando di pubblicarli a meno che non venga pagato il riscatto.

È importante notare che esistono molte varianti e cloni all'interno della famiglia di ransomware Phobos, ciascuno con le proprie caratteristiche specifiche e metodi di funzionamento. Queste varianti possono essere introdotte o modificate nel tempo da diversi gruppi di criminali informatici. A causa della natura in evoluzione del ransomware, gli esperti di sicurezza informatica e le aziende antivirus lavorano continuamente per rilevare e mitigare le minacce associate alla famiglia Phobos e ad altri ceppi di ransomware. L’aggiornamento regolare del software di sicurezza, la pratica di una buona igiene della sicurezza informatica e il mantenimento di pratiche di backup sicure sono essenziali per ridurre al minimo il rischio e l’impatto degli attacchi ransomware.

Entro il Zaib
December 7, 2023
Ransomware
Italiano
December 7, 2023
Ransomware

Post popolari

Microsoft avverte che gli autori di minacce sostenute dallo...

5 days fa

Rilevamento malware Trojan Al11

11 months fa

Pop-up "Il tuo iCloud è stato violato" e "Il tuo iPhone è...

7 months fa

Pinaview è un'app adware completa

10 months fa

Cos'è Lucky Ransomware?

7 months fa

Truffa e-mail "American Express: aggiorna le informazioni del...

6 months fa
Italiano
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.