GrafGrafel ランサムウェア

研究者らは、GrafGrafel として知られる悪意のあるプログラムを特定しました。このタイプのマルウェアは、データを暗号化し、その後の復号化に対して支払いを要求する脅威的なソフトウェアの一種であるランサムウェアのカテゴリに分類されます。 GrafGrafel は、被害者のデバイス上で実行されると、システムに保存されている多数のファイルを暗号化し、ファイル名を変更します。ファイルの元のタイトルには、特定の被害者に割り当てられた一意の ID、サイバー犯罪者の電子メール アドレス、および「.GrafGrafel」拡張子が付加されます。たとえば、元々「1.doc」という名前だったファイルは、暗号化後に「1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel」に変換されます。 GrafGrafel は、 Phobos Ransomwareファミリ内の亜種として特定されています。

暗号化プロセスが完了すると、GrafGrafel は身代金メモを展開します。通知の 1 つの形式は、「info.hta」ファイルから生成されたポップアップとして表示され、「info.txt」という名前のテキスト ファイルは、暗号化されたデータを含むすべてのフォルダーとシステムのデスクトップに配置されます。これらのメモ内のメッセージを分析すると、GrafGrafel が個人の家庭ユーザーではなく企業を特にターゲットにしていることが明らかになりました。さらに二重恐喝戦術も採用しており、戦略の高度化が見られる。

GrafGrafel ランサムウェアは被害者から機密データを収集する可能性もあります

ポップアップ ファイルとテキスト ファイルの両方に表示される内容は同じです。これは、被害者のファイルが暗号化されていることを伝え、企業の機密データが流出するというさらなる脅威を与えます。攻撃者は身代金を要求し、これに従わない場合は盗まれた情報が漏洩し、ロックされたデータに引き続きアクセスできなくなると警告しています。これらのメモは、潜在的な企業データ漏洩に関連するリスクを明確に概説しています。特に、被害者が 6 時間以内にサイバー犯罪者に連絡した場合、身代金の額は 30% 減額されます。

被害者は、支払いを行う前に、いくつかの小さなファイルで復号化プロセスをテストすることをお勧めします。このメッセージは、システムの再起動やシャットダウン、影響を受けるファイルの変更、サードパーティの復号化ツールの使用、回復会社や当局への支援の要請など、永久的なデータ損失につながる可能性のある行為に対して警告しています。

GrafGrafel ランサムウェアは、ローカル ファイルとネットワーク共有ファイルの両方を暗号化し、重要なシステム ファイルは影響を受けずに残し、感染したシステムが動作し続けるようにします。 Phobos ランサムウェアの亜種は、他のランサムウェアによってすでにロックされているファイルを除外することで二重暗号化を回避しますが、既知のデータ暗号化マルウェアのすべてをカバーしていない可能性がある事前に定められた除外リストのため、このプロセスは完璧ではありません。

Phobos の亜種は、開いているファイルに関連するプロセス (データベース プログラム、ファイル リーダーなど) も終了し、ファイルが「使用中」と見なされるという理由で暗号化が除外されるのを防ぎます。リカバリをさらに複雑にするために、GrafGrafel はシャドウ ボリューム コピーを削除し、デフォルトのリカバリ オプションを排除します。ランサムウェアは、自身を %LOCALAPPDATA% パスにコピーし、特定の Run キーに登録することで永続性を確立し、システムの再起動時に自動的に起動するようにします。

さらに、マルウェアは地理位置情報データを収集するため、Phobos 攻撃が標的となる可能性があります。この情報は、地政学的な考慮事項や被害地域の経済力などの要素に基づいて、感染を拡大する価値があるかを評価するために活用される可能性があります。

マルウェアの脅威に対して十分なセキュリティ対策を講じてください

ユーザーは、マルウェア攻撃から保護するために、デバイスにさまざまなセキュリティ対策を実装できます。主な推奨事項は次のとおりです。

• マルウェア対策ソフトウェアを使用する:
• 専門的なセキュリティ ソフトウェアをインストールし、常に最新の状態に保ちます。定期的にスキャンをスケジュールして、マルウェアを検出して削除します。
• オペレーティング システムを常に最新の状態に保つ:
• オペレーティング システム (OS) とすべてのソフトウェア アプリケーションが、利用可能な最新のセキュリティ パッチで更新されていることを確認します。可能な場合は自動更新を有効にします。
• ファイアウォールを有効にする:
• デバイス レベルとネットワーク レベルの両方でファイアウォールを有効にします。ファイアウォールは、送受信ネットワーク トラフィックの監視と制御に役立ち、追加の防御層を提供します。
• 電子メールの添付ファイルとリンクには注意してください。
• 特に送信者に馴染みのない場合、電子メールの添付ファイルを処理したりリンクをクリックしたりする場合は注意してください。電子メール フィルタリング ツールを使用すると、悪意のある可能性のある電子メールを特定して除外できます。
• 強力でユニークなパスワードを使用してください:
• すべてのアカウントに対して、常に強力で一意のパスワードを作成してください。同時に、複数のアカウントで同じパスワードを使用しないようにしてください。
• データを定期的にバックアップする:
• 重要なデータを外部デバイスまたは安全なクラウド サービスに定期的にバックアップします。マルウェア攻撃が発生した場合、最新のバックアップがあると、失われたファイルや暗号化されたファイルを復元するのに役立ちます。
• 最新情報を入手:
• 最新のマルウェアの脅威とセキュリティのベスト プラクティスを追跡します。セキュリティ ソースからのアップデートを定期的にチェックし、サイバー犯罪者が使用する一般的な戦術に注意してください。
• 安全な Wi-Fi ネットワーク:
• ホーム Wi-Fi ネットワークでは強力な暗号化 (WPA3 など) を使用します。デフォルトのルーターパスワードを変更し、定期的に更新してください。機密性の高いアクティビティには公衆 Wi-Fi を使用しないでください。

これらのセキュリティ対策を組み合わせることで、ユーザーはマルウェアやその他のサイバー脅威に対する保護を大幅に強化できます。さらに、セキュリティを意識した考え方を育み、常に警戒を続けることは、安全なデジタル環境を維持するために不可欠な側面です。

GrafGrafel ランサムウェアの被害者に提示された身代金メモの全文は次のとおりです。

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

データが闇市場に出回った場合に直面すること:
従業員や顧客の個人情報は、オンライン ストアでのローンや購入のために使用される場合があります。
機密情報を漏洩したとして、会社の顧客から訴訟を起こされる可能性があります。
他のハッカーが従業員に関する個人データを入手すると、ソーシャル エンジニアリングが会社に適用され、その後の攻撃は激化するばかりです。
銀行口座の詳細とパスポートは、犯罪資金の洗浄に使用される銀行口座やオンライン ウォレットの作成に使用される可能性があります。
永遠に評判を失うことになるでしょう。
政府から多額の罰金を課せられることになります。
データ損失に対する責任について詳しくは、hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation またはこちら hxxps://gdpr-info.eu をご覧ください。
裁判や罰金、重要なファイルが使用できなくなると、多大な損失が発生します。この結果はあなたにとって取り返しのつかないものになります。
警察に連絡してもこれらの結果からあなたを救うことはできず、データの損失は状況を悪化させるだけです。

お問い合わせ方法
メールでご連絡ください: GrafGrafel@tutanota.com
弊社のオンライン オペレーターに電報でご連絡いただけます: @GROUNDINGCONDUCTOR (偽物にご注意ください)
(セッション) メッセンジャー hxxps://getsession.org をメッセンジャーでダウンロードします:ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
この ID をメッセージのタイトルに記入してください -
最初の 6 時間以内にご連絡いただき、24 時間以内に取引を完了した場合、価格は 30% のみになります。
(私たち二人にとって、時は金なりです。あなたが私たちの時間を大切にしてくれるなら、私たちも同じようにします。価格も考慮します。復号化プロセスは非常に速く行われます)
ダウンロードされたすべてのデータは支払い後に削除されます。

やってはいけないことと推奨事項
最小限の損失でこの状況から抜け出すことができます (評判はお金です!) !!!これを行うには、次のルールを厳密に遵守する必要があります。
ファイルを変更、名前変更、コピー、移動しないでください。このような行為を行うと損傷する可能性があり、復号化が不可能になります。
ファイルに損傷を与える可能性があるため、サードパーティまたは公開の復号化ソフトウェアは使用しないでください。
ファイルを損傷する可能性があるので、システムをシャットダウンまたは再起動しないでください。
第三者の交渉人（回収/警察など）を雇わないでください。できるだけ早く当社に連絡し、交渉を開始する必要があります。
テスト用の値ファイルではない小さなデータを 1 ～ 2 個送っていただければ、それを復号化して返送します。
お支払い後、すべてのデータを復号化するのに 2 時間もかかりません。完全な復号化が完了するまでサポートさせていただきます。 ！ ！ (私たちの評判はお金です!)

私たちのチームに連絡する手順:
(セッション) メッセンジャー (hxxps://getsession.org) をメッセンジャーでダウンロードします:ID「05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e」
Telrgram : @GROUNDINGCONDUCTOR (偽物にご注意ください)
MAIL:GrafGrafel@tutanota.com'