GrafGrafel 勒索软件威胁双重勒索

在检查新文件样本时，我们的研究团队发现了属于 Phobos 勒索软件家族的 GrafGrafel 恶意程序。此类恶意软件会对数据进行加密并要求赎金才能解密。

在我们的测试机器上运行 GrafGrafel 示例后，它会加密文件并修改其文件名。原始标题现在包括分配给受害者的唯一 ID、网络犯罪分子的电子邮件地址和“.GrafGrafel”扩展名。例如，最初名为“1.jpg”的文件在加密后变成了“1.jpg.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel”。

在此加密过程之后，勒索信息出现在弹出窗口（“info.hta”）和文本文件（“info.txt”）中。文本文件存放在加密目录和桌面上。这些笔记的内容表明，GrafGrafel 专门针对公司而非个人用户，采用双重勒索策略。

弹出窗口和文本文件都包含相同的消息，表明受害者的文件已加密，敏感的公司数据已被泄露。攻击者索要赎金，并威胁称，如果不满足他们的要求，他们将泄露被盗信息，并让锁定的数据无法访问。这些说明强调了公司数据泄露的风险，并提到如果受害者在 6 小时内联系网络犯罪分子，赎金将减少 30%。

在付款之前，受害者可以选择对一些小文件进行解密测试。这些消息警告不要采取可能导致永久性数据丢失的操作，例如重新启动或关闭系统、重命名/复制/移动或修改受影响的文件、使用第三方解密工具以及联系恢复公司或当局。

GrafGrafel 勒索信跨越多页文本

GrafGrafel 勒索信全文如下：

ATTENTION

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

如果您的数据进入黑市，您将面临什么：
您的员工和客户的个人信息可能会用于获得贷款或在网上商店购物。
您可能会因泄露机密信息而被您公司的客户起诉。
当其他黑客获取您员工的个人数据后，社会工程将应用于您的公司，后续攻击只会加剧。
银行详细信息和护照可用于创建银行账户和在线钱包，通过这些账户和在线钱包洗钱。
你将永远失去声誉。
您将受到政府的巨额罚款。
您可以在此处了解有关数据丢失责任的更多信息：hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation 或此处 hxxps://gdpr-info.eu
法庭、罚款和无法使用重要文件都会给您带来巨大损失。这样做的后果对你来说将是不可逆转的。
联系警方并不能帮助您避免这些后果，并且丢失数据只会使您的情况变得更糟。

如何联系我们
给我们写信：GrafGrafel@tutanota.com
您可以通过电报联系我们的在线运营商：@GROUNDINGCONDUCTOR（小心假货）
在messenger中下载（会话）messenger hxxps://getsession.org :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
将此 ID 写在您的消息标题中 -
如果您在前 6 小时内联系我们，我们将在 24 小时内完成交易，价格将仅为 30%。
（时间对我们俩来说就是金钱，如果您关心我们的时间，我们也会这样做，我们会关心价格，解密过程将很快完成）
所有下载的数据将在付款后删除。

不该做什么和建议
您可以以最小的损失摆脱这种情况（我们的声誉就是我们的金钱！）！！！为此，您必须严格遵守以下规则：
请勿修改、请勿重命名、请勿复制、请勿移动任何文件。此类行为可能会损坏它们并且无法解密。
请勿使用任何第三方或公共解密软件，它也可能会损坏文件。
请勿关闭或重新启动系统，这可能会损坏文件。
请勿雇用任何第三方谈判人员（救援/警察等）您需要尽快联系我们并开始谈判。
您可以向我们发送1-2个小数据非价值文件进行测试，我们将解密并发回给您。
付款后，我们只需 2 小时即可解密您的所有数据。我们将支持您直到完全解密完成！ ！ ！ （我们的声誉就是我们的金钱！）

联系我们团队的说明：
在messenger中下载（会话）messenger（hxxps://getsession.org）：ID“05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e”
Telrgram ：@GROUNDINGCONDUCTOR（小心假货）
邮件：GrafGrafel@tutanota.com

什么是 Phobos 系列勒索软件克隆？

Phobos 是一个勒索软件系列，已知以 Windows 系统为目标。它旨在加密受感染系统上的文件，使用户无法访问这些文件，然后要求赎金以换取解密密钥。 Phobos 勒索软件系列的特点是使用添加到加密文件中的特定文件扩展名，通常反映勒索软件变体的名称。

Phobos 提供的赎金票据通常包含有关受害者如何支付赎金以获得解密密钥的说明。 Phobos 以采用双重勒索策略而闻名，除了加密文件外，它还可能从受感染的系统中窃取敏感数据。然后，Phobos 背后的威胁行为者利用窃取的数据作为杠杆，威胁称除非支付赎金，否则将公布这些数据。

值得注意的是，Phobos 勒索软件家族中有许多变种和克隆，每种都有其特定的特征和操作方法。随着时间的推移，不同的网络犯罪团伙可能会引入或修改这些变体。由于勒索软件不断发展的性质，网络安全专家和防病毒公司不断努力检测和减轻与 Phobos 系列和其他勒索软件菌株相关的威胁。定期更新安全软件、实行良好的网络安全卫生以及维护安全备份实践对于最大限度地减少勒索软件攻击的风险和影响至关重要。