Rabatte für mehrere Lizenzen
Threat Database Ransomware GrafGrafel-Ransomware

GrafGrafel-Ransomware

Von Mezo in Ransomware
Übersetzen Sie in:
Deutsch

Forscher haben ein Schadprogramm namens GrafGrafel identifiziert. Diese Art von Malware fällt in die Kategorie der Ransomware, einer Klasse bedrohlicher Software, die Daten verschlüsselt und für deren anschließende Entschlüsselung eine Zahlung verlangt. Sobald GrafGrafel auf dem Gerät eines Opfers ausgeführt wird, verschlüsselt es zahlreiche auf dem System gespeicherte Dateien und ändert deren Dateinamen. An die Originaltitel der Dateien werden eine eindeutige, dem jeweiligen Opfer zugewiesene ID, die E-Mail-Adresse der Cyberkriminellen und die Erweiterung „.GrafGrafel“ angehängt. Beispielsweise würde eine Datei mit dem ursprünglichen Namen „1.doc“ nach der Verschlüsselung in „1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel“ umgewandelt werden. GrafGrafel wurde als Variante innerhalb der Phobos-Ransomware- Familie identifiziert.

Nach Abschluss des Verschlüsselungsprozesses stellt GrafGrafel seine Lösegeldforderungen bereit. Eine Form der Benachrichtigung wird als Popup angezeigt, das aus der Datei „info.hta“ generiert wird, während Textdateien mit dem Namen „info.txt“ in allen Ordnern, die verschlüsselte Daten enthalten, sowie auf dem Desktop des Systems abgelegt werden. Die Analyse der Botschaften in diesen Notizen zeigt, dass GrafGrafel sich gezielt an Unternehmen und nicht an einzelne Heimanwender richtet. Darüber hinaus setzt es doppelte Erpressungstaktiken ein, was auf ein höheres Maß an Raffinesse in seiner Strategie hinweist.

Die GrafGrafel-Ransomware kann auch sensible Daten von Opfern sammeln

Der in den Popup- und Textdateien angezeigte Inhalt ist identisch. Es wird mitgeteilt, dass die Dateien des Opfers verschlüsselt wurden, mit der zusätzlichen Gefahr, dass sensible Unternehmensdaten herausgefiltert wurden. Die Angreifer fordern ein Lösegeld und warnen davor, dass bei Nichteinhaltung die gestohlenen Informationen preisgegeben werden und die gesperrten Daten weiterhin nicht zugänglich sind. In diesen Hinweisen wird ausdrücklich auf die Risiken hingewiesen, die mit potenziellen Unternehmensdatenlecks einhergehen. Insbesondere wenn das Opfer die Cyberkriminellen innerhalb eines Zeitfensters von sechs Stunden kontaktiert, wird die Lösegeldsumme um 30 % reduziert.

Bevor Zahlungen geleistet werden, wird dem Opfer empfohlen, den Entschlüsselungsprozess an einigen kleinen Dateien zu testen. Die Meldungen warnen vor Handlungen, die zu einem dauerhaften Datenverlust führen könnten, wie z. B. einem Neustart oder Herunterfahren des Systems, einer Änderung betroffener Dateien, der Verwendung von Entschlüsselungstools von Drittanbietern oder der Inanspruchnahme von Unterstützung durch Wiederherstellungsunternehmen oder -behörden.

Die GrafGrafel-Ransomware verschlüsselt sowohl lokale als auch im Netzwerk freigegebene Dateien, wobei kritische Systemdateien unberührt bleiben, um sicherzustellen, dass das infizierte System betriebsbereit bleibt. Während die Phobos-Ransomware-Varianten eine doppelte Verschlüsselung vermeiden, indem sie Dateien ausnehmen, die bereits von anderer Ransomware gesperrt wurden, ist dieser Prozess aufgrund einer vorgegebenen Ausnahmeliste, die möglicherweise nicht alle bekannten Datenverschlüsselungs-Malware abdeckt, nicht fehlerfrei.

Phobos-Varianten beenden auch Prozesse, die mit offenen Dateien verbunden sind (z. B. Datenbankprogramme, Dateileseprogramme usw.), und verhindern so Verschlüsselungsausschlüsse mit der Begründung, dass die Dateien als „in Verwendung“ gelten. Um die Wiederherstellung noch weiter zu erschweren, löscht GrafGrafel die Volume-Schattenkopien und eliminiert so die standardmäßigen Wiederherstellungsoptionen. Die Ransomware stellt eine Persistenz her, indem sie sich selbst in den %LOCALAPPDATA%-Pfad kopiert und sich mit bestimmten Run-Schlüsseln registriert, wodurch ein automatischer Start beim Systemneustart gewährleistet wird.

Darüber hinaus können Phobos-Angriffe gezielt eingesetzt werden, da die Malware Geolokalisierungsdaten sammelt. Diese Informationen könnten genutzt werden, um anhand von Faktoren wie geopolitischen Erwägungen oder der wirtschaftlichen Stärke der Region des Opfers zu beurteilen, ob es sinnvoll ist, die Infektion auszuweiten.

Stellen Sie sicher, dass Sie ausreichende Sicherheitsmaßnahmen gegen Malware-Bedrohungen implementieren

Benutzer können verschiedene Sicherheitsmaßnahmen auf ihren Geräten implementieren, um sich vor Malware-Angriffen zu schützen. Hier sind die wichtigsten Empfehlungen:

  • Verwenden Sie Anti-Malware-Software :
  • Installieren Sie professionelle Sicherheitssoftware und halten Sie diese auf dem neuesten Stand. Planen Sie regelmäßig Scans, um Malware zu erkennen und zu entfernen.
  • Halten Sie Betriebssysteme auf dem neuesten Stand :
  • Stellen Sie sicher, dass das Betriebssystem (OS) und alle Softwareanwendungen mit den neuesten verfügbaren Sicherheitspatches aktualisiert werden. Aktivieren Sie nach Möglichkeit automatische Updates.
  • Firewalls aktivieren :
  • Aktivieren Sie Firewalls sowohl auf Geräte- als auch auf Netzwerkebene. Firewalls sind nützlich bei der Überwachung und Kontrolle des ein- und ausgehenden Netzwerkverkehrs und bieten eine zusätzliche Verteidigungsebene.
  • Seien Sie vorsichtig mit E-Mail-Anhängen und Links :
  • Seien Sie vorsichtig beim Umgang mit E-Mail-Anhängen oder beim Klicken auf Links, insbesondere wenn der Absender unbekannt ist. Verwenden Sie E-Mail-Filtertools, um potenziell schädliche E-Mails zu identifizieren und herauszufiltern.
  • Verwenden Sie starke, eindeutige Passwörter :
  • Erstellen Sie immer sichere und eindeutige Passwörter für alle Konten. Stellen Sie gleichzeitig sicher, dass Sie nicht für mehrere Konten dasselbe Passwort verwenden.
  • Daten regelmäßig sichern :
  • Sichern Sie wichtige Daten regelmäßig auf einem externen Gerät oder einem sicheren Cloud-Dienst. Im Falle eines Malware-Angriffs können aktuelle Backups dabei helfen, verlorene oder verschlüsselte Dateien wiederherzustellen.
  • Bleib informiert :
  • Behalten Sie den Überblick über die neuesten Malware-Bedrohungen und Best Practices für die Sicherheit. Suchen Sie regelmäßig nach Updates von Sicherheitsquellen und achten Sie auf die gängigen Taktiken von Cyberkriminellen.
  • Sichere Wi-Fi-Netzwerke :
  • Verwenden Sie in Heim-WLAN-Netzwerken eine starke Verschlüsselung (z. B. WPA3). Ändern Sie die Standard-Router-Passwörter und aktualisieren Sie sie regelmäßig. Vermeiden Sie die Nutzung öffentlicher WLANs für sensible Aktivitäten.

Durch die Kombination dieser Sicherheitsmaßnahmen können Benutzer ihren Schutz vor Malware und anderen Cyber-Bedrohungen deutlich verbessern. Darüber hinaus sind die Entwicklung einer sicherheitsbewussten Denkweise und Wachsamkeit wesentliche Aspekte für die Aufrechterhaltung einer sicheren digitalen Umgebung.

Der vollständige Text des Lösegeldscheins, der den Opfern der GrafGrafel-Ransomware vorgelegt wurde, lautet:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Was auf Sie zukommt, wenn Ihre Daten auf den Schwarzmarkt gelangen:
Die persönlichen Daten Ihrer Mitarbeiter und Kunden können zur Kreditaufnahme oder zum Einkauf in Online-Shops genutzt werden.
Sie können von Kunden Ihres Unternehmens wegen der Weitergabe vertraulicher Informationen verklagt werden.
Nachdem andere Hacker persönliche Daten über Ihre Mitarbeiter erhalten haben, wird Social Engineering auf Ihr Unternehmen angewendet und nachfolgende Angriffe werden nur noch intensiver.
Mithilfe von Bankdaten und Reisepässen können Bankkonten und Online-Wallets erstellt werden, über die kriminelles Geld gewaschen wird.
Sie werden Ihren Ruf für immer verlieren.
Ihnen drohen hohe Geldstrafen seitens der Regierung.
Mehr zur Haftung bei Datenverlust erfahren Sie hier: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationoder hier hxxps://gdpr-info.eu
Gerichte, Bußgelder und die Unfähigkeit, wichtige Dateien zu nutzen, führen zu enormen Verlusten. Die Folgen davon werden für Sie irreversibel sein.
Die Kontaktaufnahme mit der Polizei wird Sie nicht vor diesen Konsequenzen bewahren, und der Verlust von Daten wird Ihre Situation nur verschlimmern.

Wie Sie uns erreichen
Schreiben Sie uns an die E-Mails: GrafGrafel@tutanota.com
Sie können unseren Online-Betreiber per Telegramm kontaktieren: @GROUNDINGCONDUCTOR (Vorsicht bei Fälschungen)
Laden Sie den (Sitzungs-)Messenger hxxps://getsession.org im Messenger herunter:ID „05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e“
Schreiben Sie diese ID in den Titel Ihrer Nachricht –
WENN SIE UNS IN DEN ERSTEN 6 Stunden KONTAKT KONTAKTIEREN und wir unser Geschäft innerhalb von 24 Stunden abschließen, BETRÄGT DER PREIS NUR 30 %.
(Zeit ist Geld für uns beide. Wenn Sie sich um unsere Zeit kümmern, werden wir das Gleiche tun, wir kümmern uns um den Preis und der Entschlüsselungsprozess wird SEHR SCHNELL durchgeführt.)
ALLE HERUNTERGELADENEN DATEN WERDEN nach der Zahlung GELÖSCHT.

Was nicht zu tun ist und Empfehlung
Sie können mit minimalen Verlusten aus dieser Situation herauskommen (Unser Ruf ist unser Geld!) !!! Dazu müssen Sie folgende Regeln unbedingt beachten:
Dateien NICHT ändern, NICHT umbenennen, NICHT kopieren, NICHT verschieben. Solche Aktionen können sie beschädigen und eine Entschlüsselung ist unmöglich.
Benutzen Sie KEINE Entschlüsselungssoftware von Drittanbietern oder öffentlich zugänglicher Software, da dies auch zu einer Beschädigung der Dateien führen kann.
Fahren Sie das System NICHT herunter oder starten Sie es nicht neu, da dies zu einer Beschädigung der Dateien führen kann.
Beauftragen Sie KEINE Verhandlungsführer Dritter (Bergung/Polizei usw.). Sie müssen uns so schnell wie möglich kontaktieren und mit den Verhandlungen beginnen.
Sie können uns 1-2 kleine Datendateien (keine Wertdateien) zum Testen zusenden, wir entschlüsseln sie und senden sie Ihnen zurück.
Nach der Zahlung benötigen wir nicht mehr als 2 Stunden, um alle Ihre Daten zu entschlüsseln. Wir unterstützen Sie bis zur vollständigen Entschlüsselung! ! ! (Unser Ruf ist unser Geld!)

Hinweise zur Kontaktaufnahme mit unserem Team:
Laden Sie den (Session) Messenger (hxxps://getsession.org) im Messenger herunter:ID „05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e“
Telrgram: @GROUNDINGCONDUCTOR (Vorsicht bei Fälschungen)
MAIL:GrafGrafel@tutanota.com'

Im Trend

Am häufigsten gesehen

Wird geladen...