GrafGrafel ransomware

Los investigadores han identificado un programa malicioso conocido como GrafGrafel. Este tipo de malware entra en la categoría de ransomware, una clase de software amenazante que cifra datos y exige un pago por su posterior descifrado. Una vez ejecutado en el dispositivo de la víctima, GrafGrafel cifra numerosos archivos almacenados en el sistema y modifica sus nombres. A los títulos originales de los archivos se les añade una identificación única asignada a la víctima específica, la dirección de correo electrónico de los ciberdelincuentes y una extensión '.GrafGrafel'. Por ejemplo, un archivo originalmente llamado '1.doc' se transformaría en '1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel' después del cifrado. GrafGrafel ha sido identificado como una variante dentro de la familia Phobos Ransomware .

Después de completar el proceso de cifrado, GrafGrafel implementa sus notas de rescate. Una forma de notificación se presenta como una ventana emergente generada a partir del archivo 'info.hta', mientras que los archivos de texto denominados 'info.txt' se colocan en todas las carpetas que contienen datos cifrados, así como en el escritorio del sistema. El análisis de los mensajes contenidos en estas notas revela que GrafGrafel se dirige específicamente a empresas y no a usuarios domésticos individuales. Además, emplea tácticas de doble extorsión, lo que indica un mayor nivel de sofisticación en su estrategia.

GrafGrafel Ransomware también puede recopilar datos confidenciales de las víctimas

El contenido que se muestra tanto en la ventana emergente como en los archivos de texto es idéntico. Comunica que los archivos de la víctima han sido cifrados, con la amenaza añadida de que se han extraído datos confidenciales de la empresa. Los atacantes exigen un rescate, advirtiendo que el incumplimiento resultará en la filtración de la información robada y la continua inaccesibilidad de los datos bloqueados. Estas notas describen explícitamente los riesgos asociados con posibles filtraciones de datos de la empresa. En particular, si la víctima contacta a los ciberdelincuentes dentro de un período de seis horas, el monto del rescate se reducirá en un 30%.

Antes de realizar cualquier pago, se recomienda a la víctima que pruebe el proceso de descifrado en algunos archivos pequeños. Los mensajes advierten contra acciones que podrían resultar en una pérdida permanente de datos, como reiniciar o apagar el sistema, modificar los archivos afectados, usar herramientas de descifrado de terceros o buscar ayuda de empresas o autoridades de recuperación.

El ransomware GrafGrafel cifra archivos locales y compartidos en red, y los archivos críticos del sistema no se ven afectados para garantizar que el sistema infectado siga operativo. Si bien las variantes de Phobos Ransomware evitan el doble cifrado al eximir los archivos ya bloqueados por otro ransomware, este proceso no es perfecto debido a una lista de exenciones predeterminada que puede no cubrir todo el malware de cifrado de datos conocido.

Las variantes de Phobos también finalizan procesos asociados con archivos abiertos (por ejemplo, programas de bases de datos, lectores de archivos, etc.), evitando exclusiones de cifrado basándose en que los archivos se consideran "en uso". Para complicar aún más la recuperación, GrafGrafel elimina las instantáneas de volumen, eliminando las opciones de recuperación predeterminadas. El ransomware establece persistencia copiándose en la ruta %LOCALAPPDATA% y registrándose con claves de ejecución específicas, lo que garantiza el inicio automático al reiniciar el sistema.

Además, los ataques de Phobos pueden ser el objetivo, ya que el malware recopila datos de geolocalización. Esta información podría aprovecharse para evaluar la conveniencia de expandir la infección en función de factores como consideraciones geopolíticas o la fortaleza económica de la región de la víctima.

Asegúrese de implementar suficientes medidas de seguridad contra las amenazas de malware

Los usuarios pueden implementar varias medidas de seguridad en sus dispositivos para protegerse contra ataques de malware. Aquí hay recomendaciones clave:

• Utilice software antimalware :
• Instale software de seguridad profesional y manténgalo actualizado. Programe análisis periódicamente para detectar y eliminar malware.
• Mantenga los sistemas operativos actualizados :
• Asegúrese de que el sistema operativo (SO) y todas las aplicaciones de software estén actualizados con los últimos parches de seguridad disponibles. Habilite las actualizaciones automáticas cuando sea posible.
• Habilitar cortafuegos :
• Active firewalls tanto a nivel de dispositivo como de red. Los firewalls son útiles para monitorear y controlar el tráfico de red entrante y saliente, proporcionando una capa adicional de defensa.
• Tenga cuidado con los archivos adjuntos y enlaces de correo electrónico :
• Tenga cuidado al manipular archivos adjuntos de correo electrónico o al hacer clic en enlaces, especialmente si el remitente no está familiarizado. Utilice herramientas de filtrado de correo electrónico para ayudar a identificar y filtrar correos electrónicos potencialmente maliciosos.
• Utilice contraseñas seguras y únicas :
• Cree siempre contraseñas seguras y únicas para todas las cuentas. Al mismo tiempo, asegúrese de evitar utilizar la misma contraseña en varias cuentas.
• Copia de seguridad de datos periódicamente :
• Realice copias de seguridad de los datos importantes con regularidad en un dispositivo externo o en un servicio seguro en la nube. En caso de un ataque de malware, tener copias de seguridad actualizadas puede ayudar a restaurar archivos perdidos o cifrados.
• Mantente informado :
• Realice un seguimiento de las últimas amenazas de malware y las mejores prácticas de seguridad. Compruebe periódicamente si hay actualizaciones de fuentes de seguridad y esté atento a las tácticas comunes utilizadas por los ciberdelincuentes.
• Redes Wi-Fi seguras :
• Utilice un cifrado seguro (por ejemplo, WPA3) en las redes Wi-Fi domésticas. Cambie las contraseñas predeterminadas del enrutador y actualícelas periódicamente. Evite el uso de Wi-Fi público para actividades sensibles.

Al combinar estas medidas de seguridad, los usuarios pueden mejorar significativamente su protección contra malware y otras amenazas cibernéticas. Además, cultivar una mentalidad consciente de la seguridad y mantenerse alerta son aspectos esenciales para mantener un entorno digital seguro.

El texto completo de la nota de rescate presentada a las víctimas de GrafGrafel Ransomware es:

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

A qué se enfrentará si sus datos llegan al mercado negro:
La información personal de sus empleados y clientes podrá ser utilizada para obtener un préstamo o compras en tiendas en línea.
Los clientes de su empresa pueden demandarlo por filtrar información que era confidencial.
Después de que otros piratas informáticos obtengan datos personales sobre sus empleados, se aplicará ingeniería social a su empresa y los ataques posteriores solo se intensificarán.
Los datos bancarios y los pasaportes se pueden utilizar para crear cuentas bancarias y billeteras en línea a través de las cuales se lavará dinero criminal.
Perderás la reputación para siempre.
Estará sujeto a enormes multas por parte del gobierno.
Puede obtener más información sobre la responsabilidad por la pérdida de datos aquí: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulation o aquí hxxps://gdpr-info.eu
Los tribunales, las multas y la imposibilidad de utilizar archivos importantes le provocarán enormes pérdidas. Las consecuencias de esto serán irreversibles para usted.
Contactar a la policía no lo salvará de estas consecuencias y la pérdida de datos solo empeorará su situación.

Cómo contactarnos
Escríbenos a los correos: GrafGrafel@tutanota.com
Puede contactar con nuestro operador online en Telegram: @GROUNDINGCONDUCTOR (TENGA CUIDADO CON LAS FALSAS)
Descargue el messenger (Sesión) hxxps://getsession.org en messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Escriba este ID en el título de su mensaje -
SI SE CONTACTA CON NOSOTROS EN LAS PRIMERAS 6 horas y cerramos nuestro trato en 24 horas, EL PRECIO SERÁ SÓLO EL 30%.
(El tiempo es dinero para ambos, si usted se preocupa por nuestro tiempo, nosotros haremos lo mismo, nos preocuparemos del precio y el proceso de descifrado se realizará MUY RÁPIDO)
TODOS LOS DATOS DESCARGADOS SERÁN ELIMINADOS después del pago.

Qué no hacer y recomendación.
¡¡¡Puedes salir de esta situación con pérdidas mínimas (¡¡¡Nuestra reputación es nuestro dinero!) !!! Para ello debes observar estrictamente las siguientes reglas:
NO modifique, NO cambie el nombre, NO copie, NO mueva ningún archivo. Tales acciones pueden DAÑARLOS y el descifrado será imposible.
NO utilice ningún software de descifrado público o de terceros, ya que también puede DAÑAR los archivos.
NO apague ni reinicie el sistema, esto puede DAÑAR los archivos.
NO contrate a ningún negociador externo (recuperación/policía, etc.). Debe comunicarse con nosotros lo antes posible e iniciar las negociaciones.
Puede enviarnos 1 o 2 archivos pequeños de datos, no de valores, para probarlos, los descifraremos y se los enviaremos de vuelta.
Después del pago, no necesitamos más de 2 horas para descifrar todos sus datos. ¡Lo apoyaremos hasta que se complete el descifrado! ! ! (¡Nuestra reputación es nuestro dinero!)

Instrucciones para contactar con nuestro equipo:
Descargue el messenger (sesión) (hxxps://getsession.org) en messenger: ID "05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram: @GROUNDINGCONDUCTOR (TENGA CUIDADO CON LAS FALSAS)
CORREO:GrafGrafel@tutanota.com'