GrafGrafel ランサムウェアによる二重恐喝の脅威
私たちの研究チームは、新しいファイル サンプルを調査しているときに、Phobos ランサムウェア ファミリに属する GrafGrafel 悪意のあるプログラムを発見しました。このタイプのマルウェアはデータを暗号化し、復号化のために身代金を要求します。
GrafGrafel のサンプルをテスト マシンで実行すると、ファイルが暗号化され、ファイル名が変更されました。元のタイトルには、被害者に割り当てられた一意の ID、サイバー犯罪者の電子メール アドレス、および拡張子「.GrafGrafel」が含まれていました。たとえば、最初は「1.jpg」という名前のファイルは、暗号化後に「1.jpg.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel」に変換されます。
この暗号化プロセスの後、身代金メモがポップアップ (「info.hta」) とテキスト ファイル (「info.txt」) に表示されました。テキスト ファイルは、暗号化されたディレクトリとデスクトップに置かれました。これらのメモの内容は、GrafGrafel が個人ユーザーではなく企業を特にターゲットにし、二重の恐喝戦術を採用していることを示しています。
ポップアップ ファイルとテキスト ファイルには両方とも同一のメッセージが含まれており、被害者のファイルが暗号化され、企業の機密データが流出したことを示しています。攻撃者は身代金を要求し、要求が満たされない場合は盗んだ情報を漏洩し、ロックされたデータにアクセスできないようにすると脅迫します。このメモでは、企業データ漏洩のリスクを強調し、被害者が 6 時間以内にサイバー犯罪者に連絡を取った場合、身代金が 30% 減額されると述べています。
被害者には、支払いを行う前に、いくつかの小さなファイルの復号化をテストするオプションがあります。このメッセージは、システムの再起動やシャットダウン、影響を受けるファイルの名前変更/コピー/移動や変更、サードパーティの復号化ツールの使用、回復会社や当局への連絡など、永久的なデータ損失につながる可能性のある行為を行わないよう警告しています。
GrafGrafel の身代金メモが複数ページにわたるテキストに及ぶ
GrafGrafel 身代金メモの全文は次のとおりです。
ATTENTION
Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.データが闇市場に出回った場合に直面すること:
従業員や顧客の個人情報は、オンライン ストアでのローンや購入のために使用される場合があります。
機密情報を漏洩したとして、会社の顧客から訴訟を起こされる可能性があります。
他のハッカーが従業員に関する個人データを入手すると、ソーシャル エンジニアリングが会社に適用され、その後の攻撃は激化するばかりです。
銀行口座の詳細とパスポートは、犯罪資金の洗浄に使用される銀行口座やオンライン ウォレットの作成に使用される可能性があります。
永遠に評判を失うことになるでしょう。
政府から多額の罰金を課せられることになります。
データ損失に対する責任について詳しくは、hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation またはこちら hxxps://gdpr-info.eu をご覧ください。
裁判や罰金、重要なファイルが使用できなくなると、多大な損失が発生します。この結果はあなたにとって取り返しのつかないものになります。
警察に連絡してもこれらの結果からあなたを救うことはできず、データの損失は状況を悪化させるだけです。お問い合わせ方法
メールでご連絡ください: GrafGrafel@tutanota.com
弊社のオンライン オペレーターに電報でご連絡いただけます: @GROUNDINGCONDUCTOR (偽物にご注意ください)
(セッション) メッセンジャー hxxps://getsession.org をメッセンジャーでダウンロードします:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
この ID をメッセージのタイトルに記入してください -
最初の 6 時間以内にご連絡いただき、24 時間以内に取引を完了した場合、価格は 30% のみになります。
(私たち二人にとって、時は金なりです。あなたが私たちの時間を大切にしてくれるなら、私たちも同じようにします。価格も考慮します。復号化プロセスは非常に速く行われます)
ダウンロードされたすべてのデータは支払い後に削除されます。やってはいけないことと推奨事項
最小限の損失でこの状況から抜け出すことができます (評判はお金です!) !!!これを行うには、次のルールを厳密に遵守する必要があります。
ファイルを変更、名前変更、コピー、移動しないでください。このような行為を行うと損傷する可能性があり、復号化が不可能になります。
ファイルに損傷を与える可能性があるため、サードパーティまたは公開の復号化ソフトウェアは使用しないでください。
ファイルを損傷する可能性があるので、システムをシャットダウンまたは再起動しないでください。
第三者の交渉人(回収/警察など)を雇わないでください。できるだけ早く当社に連絡し、交渉を開始する必要があります。
テスト用の値ファイルではない小さなデータを 1 ~ 2 個送っていただければ、それを復号化して返送します。
お支払い後、すべてのデータを復号化するのに 2 時間もかかりません。完全な復号化が完了するまでサポートさせていただきます。 ! ! (私たちの評判はお金です!)私たちのチームに連絡する手順:
(セッション) メッセンジャー (hxxps://getsession.org) をメッセンジャーでダウンロードします:ID「05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e」
Telrgram : @GROUNDINGCONDUCTOR (偽物にご注意ください)
MAIL:GrafGrafel@tutanota.com
ランサムウェア クローンの Phobos ファミリとは何ですか?
Phobos は、Windows システムを標的とすることが知られているランサムウェア ファミリです。このウイルスは、感染したシステム上のファイルを暗号化してユーザーがファイルにアクセスできないようにし、復号キーと引き換えに身代金を要求するように設計されています。 Phobos ランサムウェア ファミリは、暗号化されたファイルに追加される特定のファイル拡張子を使用することが特徴で、多くの場合、ランサムウェアの亜種の名前が反映されています。
通常、Phobos によって配信される身代金メモには、被害者が復号キーを取得するために身代金を支払う方法に関する指示が含まれています。 Phobos は二重恐喝戦術を採用することで知られており、ファイルの暗号化に加えて、侵害されたシステムから機密データを抜き出す可能性があります。その後、Phobos の背後にある攻撃者が盗んだデータを利用し、身代金を支払わない限りデータを公開すると脅迫します。
Phobos ランサムウェア ファミリには多くの亜種やクローンが存在し、それぞれに独自の特徴や運用方法があることに注意することが重要です。これらの亜種は、時間の経過とともにさまざまなサイバー犯罪グループによって導入または変更される可能性があります。ランサムウェアの性質は進化しているため、サイバーセキュリティの専門家やウイルス対策会社は、Phobos ファミリやその他のランサムウェア株に関連する脅威の検出と軽減に継続的に取り組んでいます。ランサムウェア攻撃のリスクと影響を最小限に抑えるには、セキュリティ ソフトウェアを定期的に更新し、適切なサイバーセキュリティ衛生を実践し、安全なバックアップを維持することが不可欠です。
