Oprogramowanie ransomware GrafGrafel grozi podwójnymi wymuszeniami

Badając nowe próbki plików, nasz zespół badawczy odkrył szkodliwy program GrafGrafel, należący do rodziny ransomware Phobos. Ten typ złośliwego oprogramowania szyfruje dane i żąda okupu za ich odszyfrowanie.

Po uruchomieniu próbki GrafGrafel na naszej maszynie testowej szyfrował pliki i modyfikował ich nazwy. Oryginalne tytuły zawierały teraz unikalny identyfikator przypisany ofierze, adres e-mail cyberprzestępców i rozszerzenie „.GrafGrafel”. Na przykład plik początkowo nazwany „1.jpg” po zaszyfrowaniu został przekształcony w „1.jpg.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel”.

Po procesie szyfrowania notatki z żądaniem okupu pojawiały się w wyskakujących okienkach („info.hta”) i plikach tekstowych („info.txt”). Pliki tekstowe zostały zdeponowane w zaszyfrowanych katalogach i na pulpicie. Z treści tych notatek wynika, że GrafGrafel atakuje w szczególności firmy, a nie indywidualnych użytkowników, stosując taktykę podwójnego wymuszenia.

Zarówno wyskakujące okienko, jak i pliki tekstowe zawierają identyczną wiadomość informującą, że pliki ofiary są zaszyfrowane, a wrażliwe dane firmowe zostały wydobyte. Napastnicy żądają okupu, grożąc ujawnieniem skradzionych informacji i uniemożliwieniem dostępu do zablokowanych danych, jeśli ich żądania nie zostaną spełnione. W notatkach podkreślono ryzyko wycieku danych firmy i wspomniano o 30% obniżce okupu, jeśli ofiara skontaktuje się z cyberprzestępcami w ciągu 6 godzin.

Przed dokonaniem płatności ofiara ma możliwość przetestowania odszyfrowania kilku małych plików. Komunikaty ostrzegają przed działaniami, które mogą spowodować trwałą utratę danych, takimi jak ponowne uruchomienie lub zamknięcie systemu, zmiana nazwy/kopiowanie/przeniesienie lub modyfikacja odpowiednich plików, korzystanie z narzędzi deszyfrujących innych firm oraz kontaktowanie się z firmami lub władzami zajmującymi się odzyskiwaniem danych.

Notatka o okupie GrafGrafel obejmuje wiele stron tekstu

Pełny tekst żądania okupu GrafGrafel brzmi następująco:

ATTENTION

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Co Cię spotka, jeśli Twoje dane trafią na czarny rynek:
Dane osobowe Twoich pracowników i klientów mogą zostać wykorzystane w celu uzyskania pożyczki lub zakupów w sklepach internetowych.
Możesz zostać pozwany przez klientów Twojej firmy za ujawnienie poufnych informacji.
Gdy inni hakerzy zdobędą dane osobowe Twoich pracowników, w Twojej firmie zostanie zastosowana socjotechnika, a kolejne ataki będą się tylko nasilać.
Dane bankowe i paszporty można wykorzystać do tworzenia kont bankowych i portfeli internetowych, za pośrednictwem których będą prane pieniądze pochodzące z przestępstwa.
Na zawsze stracisz reputację.
Grożą Ci ogromne kary nałożone przez rząd.
Więcej informacji na temat odpowiedzialności za utratę danych można znaleźć tutaj: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationlub tutaj hxxps://gdpr-info.eu
Sądy, kary i niemożność skorzystania z ważnych plików doprowadzą Cię do ogromnych strat. Konsekwencje tego będą dla Ciebie nieodwracalne.
Kontakt z policją nie uchroni Cię przed tymi konsekwencjami, a utracone dane tylko pogorszą Twoją sytuację.

Jak się z nami skontaktować
Napisz do nas na maile: GrafGrafel@tutanota.com
Z naszym operatorem internetowym możesz skontaktować się za pomocą telegramu: @GROUNDINGCONDUCTOR (UWAŻAJ NA FAŁSZYWOŚCI)
Pobierz komunikator (sesyjny) hxxps://getsession.org w komunikatorze:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Wpisz ten identyfikator w tytule wiadomości -
JEŚLI SKONTAKTUJESZ SIĘ Z NAMI W CIĄGU PIERWSZYCH 6 godzin, a my zamkniemy transakcję w ciągu 24 godzin, CENA BĘDZIE TYLKO 30%.
(czas to pieniądz dla nas obu, jeśli Ty zadbasz o nasz czas, my zrobimy to samo, zadbamy o cenę, a proces odszyfrowania zostanie przeprowadzony BARDZO SZYBKO)
WSZYSTKIE POBRANE DANE ZOSTANĄ USUNIĘTE po dokonaniu płatności.

Czego nie robić i rekomendacja
Możesz wyjść z tej sytuacji przy minimalnych stratach (Nasza reputacja to nasze pieniądze!) !!! Aby to zrobić, musisz ściśle przestrzegać następujących zasad:
NIE modyfikuj, NIE zmieniaj nazwy, NIE kopiuj, NIE przenoś żadnych plików. Takie działania mogą je USZKODZIĆ i odszyfrowanie będzie niemożliwe.
NIE używaj żadnego oprogramowania innych firm ani publicznego oprogramowania do odszyfrowywania, może to również spowodować USZKODZENIE plików.
NIE zamykaj ani nie uruchamiaj ponownie systemu, może to spowodować USZKODZENIE plików.
NIE zatrudniaj zewnętrznych negocjatorów (odzyskiwanie/policja itp.). Należy jak najszybciej skontaktować się z nami i rozpocząć negocjacje.
Możesz przesłać nam do testu 1-2 małe pliki z danymi, które nie mają wartości, a my je odszyfrujemy i odeślemy do Ciebie.
Po dokonaniu płatności potrzebujemy nie więcej niż 2 godzin, aby odszyfrować wszystkie Twoje dane. Będziemy Cię wspierać aż do całkowitego odszyfrowania! ! ! (Nasza reputacja to nasze pieniądze!)

Instrukcja kontaktu z naszym zespołem:
Pobierz komunikator (sesyjny) (hxxps://getsession.org) w komunikatorze:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram: @GROUNDINGCONDUCTOR (UWAŻAJ NA FAŁSZYWE)
POCZTA: GrafGrafel@tutanota.com

Jaka jest rodzina Phobos klonów ransomware?

Phobos to rodzina oprogramowania ransomware, którego celem są systemy Windows. Jego zadaniem jest szyfrowanie plików w zainfekowanym systemie, czyniąc je niedostępnymi dla użytkownika, a następnie żąda okupu w zamian za klucz deszyfrujący. Rodzina ransomware Phobos charakteryzuje się wykorzystaniem określonego rozszerzenia pliku dodawanego do zaszyfrowanych plików, często odzwierciedlającego nazwę wariantu ransomware.

Notatki z żądaniem okupu dostarczane przez Phobosa zazwyczaj zawierają instrukcje dotyczące sposobu, w jaki ofiara może zapłacić okup w celu uzyskania klucza deszyfrującego. Phobos znany jest ze stosowania taktyk podwójnego wymuszenia, podczas których oprócz szyfrowania plików może wydobywać wrażliwe dane z zaatakowanego systemu. Następnie cyberprzestępcy stojący za Phobosem wykorzystują skradzione dane jako dźwignię, grożąc ich opublikowaniem, jeśli nie zapłacą okupu.

Należy zauważyć, że w rodzinie ransomware Phobos istnieje wiele wariantów i klonów, każdy z własnymi specyficznymi cechami i metodami działania. Warianty te mogą z biegiem czasu być wprowadzane lub modyfikowane przez różne grupy cyberprzestępcze. Ze względu na ewoluujący charakter oprogramowania ransomware eksperci ds. cyberbezpieczeństwa i firmy antywirusowe nieustannie pracują nad wykrywaniem i łagodzeniem zagrożeń związanych z rodziną Phobos i innymi odmianami oprogramowania ransomware. Regularne aktualizowanie oprogramowania zabezpieczającego, przestrzeganie zasad higieny cyberbezpieczeństwa i utrzymywanie bezpiecznych praktyk tworzenia kopii zapasowych są niezbędne, aby zminimalizować ryzyko i skutki ataków oprogramowania ransomware.

Do Zaib
December 7, 2023
Ransomware
Polski
December 7, 2023
Ransomware

Popularne posty

Microsoft ostrzega, że urzędnicy wspierani przez państwo...

5 days temu

Wykrywanie złośliwego oprogramowania Trojan Al11

11 months temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

7 months temu

Pinaview to w pełni funkcjonalna aplikacja adware

10 months temu

Co to jest Lucky Ransomware?

7 months temu

Oszustwo e-mailowe „American Express – zaktualizuj informacje...

6 months temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.