Remises multi-licences
Threat Database Ransomware GrafGrafel Ransomware

GrafGrafel Ransomware

Par Mezo en Ransomware
Se traduisent par :
Français

Les chercheurs ont identifié un programme malveillant appelé GrafGrafel. Ce type de malware entre dans la catégorie des ransomwares, une classe de logiciels menaçants qui crypte les données et exige un paiement pour leur décryptage ultérieur. Une fois exécuté sur l'appareil d'une victime, GrafGrafel crypte de nombreux fichiers stockés sur le système et modifie leurs noms de fichiers. Les titres originaux des fichiers sont accompagnés d'un identifiant unique attribué à la victime spécifique, de l'adresse e-mail des cybercriminels et d'une extension « .GrafGrafel ». Par exemple, un fichier initialement nommé « 1.doc » serait transformé en « 1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel » après cryptage. GrafGrafel a été identifié comme une variante au sein de la famille Phobos Ransomware .

Après avoir terminé le processus de cryptage, GrafGrafel déploie ses notes de rançon. Une forme de notification est présentée sous la forme d'une fenêtre contextuelle générée à partir du fichier « info.hta », tandis que les fichiers texte nommés « info.txt » sont placés dans tous les dossiers contenant des données cryptées, ainsi que sur le bureau du système. L'analyse des messages contenus dans ces notes révèle que GrafGrafel cible spécifiquement les entreprises plutôt que les particuliers. En outre, il recourt à des tactiques de double extorsion, ce qui indique un niveau de sophistication accru dans sa stratégie.

Le GrafGrafel Ransomware peut également collecter des données sensibles auprès des victimes

Le contenu affiché dans les fichiers contextuels et texte est identique. Il indique que les fichiers de la victime ont été cryptés, avec la menace supplémentaire que les données sensibles de l'entreprise aient été exfiltrées. Les attaquants exigent une rançon, avertissant que le non-respect entraînera la fuite des informations volées et l'inaccessibilité continue des données verrouillées. Ces notes décrivent explicitement les risques associés aux fuites potentielles de données de l’entreprise. Notamment, si la victime contacte les cybercriminels dans un délai de six heures, le montant de la rançon sera réduit de 30 %.

Avant d'effectuer un paiement, il est conseillé à la victime de tester le processus de décryptage sur quelques petits fichiers. Les messages mettent en garde contre les actions qui pourraient entraîner une perte permanente de données, telles que le redémarrage ou l'arrêt du système, la modification des fichiers concernés, l'utilisation d'outils de décryptage tiers ou la recherche d'aide auprès d'entreprises ou d'autorités de récupération.

Le ransomware GrafGrafel crypte les fichiers locaux et partagés sur le réseau, les fichiers système critiques restant inchangés pour garantir que le système infecté reste opérationnel. Bien que les variantes de Phobos Ransomware évitent le double cryptage en exemptant les fichiers déjà verrouillés par d'autres ransomwares, ce processus n'est pas parfait en raison d'une liste d'exemptions prédéterminée qui peut ne pas couvrir tous les logiciels malveillants connus pour le cryptage de données.

Les variantes de Phobos mettent également fin aux processus associés aux fichiers ouverts (par exemple, les programmes de base de données, les lecteurs de fichiers, etc.), empêchant ainsi les exclusions de chiffrement au motif que les fichiers sont considérés comme « en cours d'utilisation ». Pour compliquer davantage la récupération, GrafGrafel supprime les copies fantômes de volume, éliminant ainsi les options de récupération par défaut. Le ransomware établit la persistance en se copiant sur le chemin %LOCALAPPDATA% et en s'enregistrant avec des clés d'exécution spécifiques, garantissant ainsi un démarrage automatique au redémarrage du système.

De plus, les attaques Phobos peuvent être ciblées, car le malware collecte des données de géolocalisation. Ces informations pourraient être exploitées pour évaluer l'opportunité d'étendre l'infection en fonction de facteurs tels que des considérations géopolitiques ou la puissance économique de la région de la victime.

Assurez-vous de mettre en œuvre des mesures de sécurité suffisantes contre les menaces de logiciels malveillants

Les utilisateurs peuvent mettre en œuvre diverses mesures de sécurité sur leurs appareils pour se protéger contre les attaques de logiciels malveillants. Voici les principales recommandations :

  • Utilisez un logiciel anti-malware :
  • Installez un logiciel de sécurité professionnel et maintenez-le à jour. Planifiez régulièrement des analyses pour détecter et supprimer les logiciels malveillants.
  • Gardez les systèmes d'exploitation à jour :
  • Assurez-vous que le système d'exploitation (OS) et toutes les applications logicielles sont mis à jour avec les derniers correctifs de sécurité disponibles. Activez les mises à jour automatiques lorsque cela est possible.
  • Activer les pare-feu :
  • Activez les pare-feu au niveau de l'appareil et du réseau. Les pare-feu sont utiles pour surveiller et contrôler le trafic réseau entrant et sortant, fournissant ainsi une couche de défense supplémentaire.
  • Faites preuve de prudence avec les pièces jointes et les liens des e-mails :
  • Soyez prudent lorsque vous manipulez des pièces jointes à des e-mails ou cliquez sur des liens, surtout si l'expéditeur n'est pas familier. Utilisez des outils de filtrage des e-mails pour identifier et filtrer les e-mails potentiellement malveillants.
  • Utilisez des mots de passe forts et uniques :
  • Créez toujours des mots de passe forts et uniques pour tous les comptes. Dans le même temps, veillez à éviter d’utiliser le même mot de passe sur plusieurs comptes.
  • Sauvegardez régulièrement les données :
  • Sauvegardez régulièrement les données importantes sur un appareil externe ou un service cloud sécurisé. En cas d'attaque de malware, disposer de sauvegardes à jour peut aider à restaurer les fichiers perdus ou cryptés.
  • Rester informé :
  • Gardez une trace des dernières menaces de logiciels malveillants et des meilleures pratiques de sécurité. Vérifiez régulièrement les mises à jour provenant de sources de sécurité et soyez conscient des tactiques courantes utilisées par les cybercriminels.
  • Réseaux Wi-Fi sécurisés :
  • Utilisez un cryptage fort (par exemple, WPA3) sur les réseaux Wi-Fi domestiques. Modifiez les mots de passe par défaut du routeur et mettez-les à jour régulièrement. Évitez d'utiliser le Wi-Fi public pour des activités sensibles.

En combinant ces mesures de sécurité, les utilisateurs peuvent améliorer considérablement leur protection contre les logiciels malveillants et autres cybermenaces. De plus, cultiver un état d’esprit soucieux de la sécurité et rester vigilant sont des aspects essentiels du maintien d’un environnement numérique sécurisé.

Le texte intégral de la demande de rançon présentée aux victimes de GrafGrafel Ransomware est :

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Ce à quoi vous serez confronté si vos données arrivent sur le marché noir :
Les informations personnelles de vos employés et clients pourront être utilisées pour obtenir un prêt ou des achats dans les boutiques en ligne.
Vous pourriez être poursuivi par des clients de votre entreprise pour avoir divulgué des informations confidentielles.
Une fois que d’autres pirates auront obtenu des données personnelles sur vos employés, l’ingénierie sociale sera appliquée à votre entreprise et les attaques ultérieures ne feront que s’intensifier.
Les coordonnées bancaires et les passeports peuvent être utilisés pour créer des comptes bancaires et des portefeuilles en ligne via lesquels l’argent du crime sera blanchi.
Vous perdrez à jamais la réputation.
Vous serez passible d'énormes amendes de la part du gouvernement.
Vous pouvez en savoir plus sur la responsabilité en cas de perte de données ici : hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationou ici hxxps://gdpr-info.eu
Les tribunaux, les amendes et l’impossibilité d’utiliser des fichiers importants vous entraîneront à d’énormes pertes. Les conséquences en seront irréversibles pour vous.
Contacter la police ne vous épargnera pas ces conséquences, et la perte de données ne fera qu'aggraver votre situation.

Comment nous contacter
Écrivez-nous aux mails : GrafGrafel@tutanota.com
Vous pouvez contacter notre opérateur en ligne par télégramme : @GROUNDINGCONDUCTOR (ATTENTION AUX FAUX)
Téléchargez le messager (Session) hxxps://getsession.org dans Messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Écrivez cet identifiant dans le titre de votre message -
SI VOUS NOUS CONTACTEZ DANS LES 6 PREMIÈRES heures et que nous concluons notre transaction dans les 24 heures, LE PRIX SERA SEULEMENT 30 %.
(le temps, c'est de l'argent pour nous deux, si vous prenez soin de notre temps, nous ferons de même, nous nous occuperons du prix et le processus de décryptage sera effectué TRÈS RAPIDEMENT)
TOUTES LES DONNÉES TÉLÉCHARGÉES SERONT SUPPRIMÉES après le paiement.

Ce qu'il ne faut pas faire et recommandation
Vous pouvez sortir de cette situation avec des pertes minimes (Notre réputation, c'est notre argent !) !!! Pour ce faire, vous devez respecter strictement les règles suivantes :
NE PAS modifier, NE PAS renommer, NE PAS copier, NE PAS déplacer de fichiers. De telles actions pourraient les ENDOMMAGER et le décryptage serait impossible.
N'utilisez PAS de logiciel de décryptage tiers ou public, cela pourrait également ENDOMMAGER les fichiers.
NE PAS arrêter ou redémarrer le système, cela pourrait ENDOMMAGER les fichiers.
N'engagez PAS de négociateurs tiers (récupération/police, etc.). Vous devez nous contacter dès que possible et entamer les négociations.
Vous pouvez nous envoyer 1 à 2 petits fichiers de données sans valeur pour test, nous les décrypterons et vous les renverrons.
Après le paiement, nous n'avons pas besoin de plus de 2 heures pour décrypter toutes vos données. Nous vous accompagnerons jusqu’à ce que le décryptage complet soit effectué ! ! ! (Notre réputation, c'est notre argent !)

Instructions pour contacter notre équipe :
Téléchargez le messager (de session) (hxxps://getsession.org) dans Messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram : @GROUNDINGCONDUCTOR (ATTENTION AUX FAUX)
COURRIEL :GrafGrafel@tutanota.com'

Tendance

Le plus regardé

Chargement...