Программа-вымогатель GrafGrafel угрожает двойным вымогательством

При изучении новых образцов файлов наша исследовательская группа обнаружила вредоносную программу GrafGrafel, принадлежащую семейству программ-вымогателей Phobos. Этот тип вредоносного ПО шифрует данные и требует выкуп за расшифровку.

Запустив образец GrafGrafel на нашей тестовой машине, он зашифровал файлы и изменил их имена. Первоначальные названия теперь включали уникальный идентификатор, присвоенный жертве, адрес электронной почты киберпреступников и расширение «.GrafGrafel». Например, файл с первоначальным названием «1.jpg» после шифрования преобразуется в «1.jpg.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel».

После этого процесса шифрования заметки о выкупе появлялись во всплывающих окнах («info.hta») и текстовых файлах («info.txt»). Текстовые файлы хранились в зашифрованных каталогах и на рабочем столе. Содержание этих заметок указывает на то, что GrafGrafel нацелен именно на компании, а не на отдельных пользователей, используя тактику двойного вымогательства.

И всплывающее окно, и текстовые файлы содержат идентичные сообщения, в которых говорится, что файлы жертвы зашифрованы, а конфиденциальные данные компании похищены. Злоумышленники требуют выкуп, угрожая раскрыть украденную информацию и оставить заблокированные данные недоступными, если их требования не будут выполнены. В примечаниях подчеркивается риск утечки данных компании и упоминается снижение выкупа на 30%, если жертва свяжется с киберпреступниками в течение 6 часов.

Прежде чем совершить платеж, жертва имеет возможность проверить расшифровку нескольких небольших файлов. Сообщения предостерегают от действий, которые могут привести к безвозвратной потере данных, таких как перезапуск или выключение системы, переименование, копирование, перемещение или изменение затронутых файлов, использование сторонних инструментов расшифровки и обращение к компаниям по восстановлению или органам власти.

Записка о выкупе GrafGrafel занимает несколько страниц текста

Полный текст записки о выкупе GrafGrafel выглядит следующим образом:

ATTENTION

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

С чем вы столкнетесь, если ваши данные попадут на черный рынок:
Персональная информация ваших сотрудников и клиентов может быть использована для получения кредита или покупок в интернет-магазинах.
Клиенты вашей компании могут подать на вас в суд за утечку конфиденциальной информации.
После того как другие хакеры получат персональные данные о ваших сотрудниках, к вашей компании будет применена социальная инженерия и последующие атаки будут только усиливаться.
Банковские реквизиты и паспорта могут быть использованы для создания банковских счетов и онлайн-кошельков, через которые будут отмываться преступные деньги.
Вы навсегда потеряете репутацию.
Вы будете подвергнуты огромным штрафам со стороны правительства.
Подробнее об ответственности за потерю данных можно узнать здесь: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation или здесь hxxps://gdpr-info.eu.
Суды, штрафы и невозможность использовать важные файлы приведут вас к огромным потерям. Последствия этого будут для вас необратимы.
Обращение в полицию не избавит вас от этих последствий, а потеря данных только усугубит ваше положение.

Как с нами связаться
Пишите нам на почту: GrafGrafel@tutanota.com
Вы можете связаться с нашим онлайн-оператором в телеграм: @GROUNDINGCONDUCTOR (БУДЬТЕ ОСТОРОЖНЫ С ПОДДЕЛКОЙ)
Загрузите мессенджер (сеанс) hxxps://getsession.org в мессенджере: ID "05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Напишите этот идентификатор в заголовке вашего сообщения -
ЕСЛИ ВЫ СВЯЖИТЕСЬ С НАМИ В ПЕРВЫЕ 6 ЧАСОВ, а мы заключим сделку в течение 24 часов, ЦЕНА БУДЕТ ВСЕГО 30%.
(время — деньги для нас обоих, если вы позаботитесь о нашем времени, мы сделаем то же самое, мы позаботимся о цене, и процесс расшифровки будет выполнен ОЧЕНЬ БЫСТРО)
ВСЕ СКАЧАННЫЕ ДАННЫЕ БУДУТ УДАЛЕНЫ после оплаты.

Что нельзя делать и рекомендации
Выйти из этой ситуации можно с минимальными потерями (Наша репутация - наши деньги!)!!! Для этого необходимо строго соблюдать следующие правила:
НЕ изменяйте, НЕ переименовывайте, НЕ копируйте, НЕ перемещайте файлы. Такие действия могут ПОВРЕДИТЬ им и расшифровка будет невозможна.
НЕ используйте стороннее или общедоступное программное обеспечение для дешифрования, оно также может ПОВРЕДИТЬ файлы.
НЕ выключайте и не перезагружайте систему, это может ПОВРЕДИТЬ файлы.
НЕ нанимайте сторонних переговорщиков (восстановления/полиции и т. д.). Вам необходимо как можно скорее связаться с нами и начать переговоры.
Вы можете отправить нам 1-2 небольших файла данных, не имеющих значения, для тестирования, мы расшифруем их и отправим вам обратно.
После оплаты нам потребуется не более 2 часов для расшифровки всех ваших данных. Мы будем поддерживать вас до тех пор, пока не будет выполнена полная расшифровка! ! ! (Наша репутация — наши деньги!)

Инструкция по связи с нашей командой:
Загрузите мессенджер (Session) (hxxps://getsession.org) в мессенджере: ID "05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram : @GROUNDINGCONDUCTOR (БУДЬТЕ ОСТОРОЖНЫ С ПОДДЕЛКОЙ)
ПОЧТА: GrafGrafel@tutanota.com

Что такое семейство клонов программ-вымогателей Phobos?

Phobos — это семейство программ-вымогателей, которые, как известно, нацелены на системы Windows. Он предназначен для шифрования файлов в зараженной системе, делая их недоступными для пользователя, а затем требует выкуп в обмен на ключ дешифрования. Для семейства программ-вымогателей Phobos характерно использование определенного расширения, добавляемого к зашифрованным файлам, которое часто отражает название варианта программы-вымогателя.

Записки о выкупе, доставленные Фобосом, обычно содержат инструкции о том, как жертва может заплатить выкуп, чтобы получить ключ дешифрования. Phobos известен тем, что использует тактику двойного вымогательства, при которой помимо шифрования файлов он может украсть конфиденциальные данные из скомпрометированной системы. Затем злоумышленники, стоящие за «Фобосом», используют украденные данные в качестве рычага, угрожая опубликовать их, если не будет выплачен выкуп.

Важно отметить, что в семействе программ-вымогателей Phobos существует множество вариантов и клонов, каждый из которых имеет свои особенности и методы работы. Эти варианты могут быть введены или изменены с течением времени различными группами киберпреступников. В связи с меняющейся природой программ-вымогателей эксперты по кибербезопасности и антивирусные компании постоянно работают над обнаружением и устранением угроз, связанных с семейством Phobos и другими штаммами программ-вымогателей. Регулярное обновление программного обеспечения безопасности, соблюдение правил гигиены кибербезопасности и соблюдение методов безопасного резервного копирования необходимы для минимизации риска и последствий атак программ-вымогателей.