GoodMorning Ransomware

أثناء فحص تهديدات البرامج الضارة، حدد باحثو الأمن السيبراني برنامج فدية هائل بشكل خاص يُعرف باسم GoodMorning. عند اختراق النظام، يشارك GoodMorning في عملية تشفير الملفات التي تؤثر على مجموعة واسعة من أنواع الملفات الموجودة على الجهاز المستهدف. وكجزء من توقيعه المميز، يقوم برنامج الفدية بإلحاق الامتداد ".goodmorning" بأسماء الملفات الأصلية للملفات المشفرة. وبعد ذلك، يترك التهديد وراءه مذكرة فدية باسم 'how_to_back_files.html'.

لتوضيح منهجية إعادة تسمية الملفات التي تستخدمها GoodMorning، فإنها تحول أسماء الملفات مثل "1.png" إلى "1.jpg.goodmorning" و"2.pdf" إلى "2.png.goodmorning"، مما يوضح التغيير المتسق للملف ملحقات. من الجدير بالذكر أن التحليل الدقيق الذي أجراه خبراء الأمن السيبراني قد أثبت أن برنامج GoodMorning هو أحد البرامج المتنوعة ضمن عائلة Globe Imposter Ransomware . يشير هذا التصنيف إلى وجود صلة بفئة أوسع من برامج الفدية ذات الخصائص والسلوكيات المشتركة.

يسعى برنامج GoodMorning Ransomware إلى ابتزاز ضحاياه عن طريق أخذ بياناتهم كرهائن

تشير مذكرة الفدية الصادرة عن برنامج GoodMorning Ransomware إلى موقف رهيب، وتؤكد أن البيانات الحيوية خضعت للتشفير ولا يمكن استعادتها إلا من خلال استخدام برنامج فك التشفير. يحدد طلب الفدية دفعة قدرها 1.5 بيتكوين، أي ما يعادل أكثر من 75000 دولار أمريكي. ومع ذلك، وبالنظر إلى الطبيعة المتقلبة للبيتكوين، فإن السعر الدقيق يمكن أن يتغير بشكل كبير في فترة قصيرة من الزمن.

يتم توفير التعليمات حول كيفية الحصول على البيتكوين من منصات مثل Binance أو Coinbase، ومن المتوقع أن يتم توجيه الدفع إلى محفظة BTC محددة، والتي يتم تقديم تفاصيلها بعد الاتصال بالمهاجمين. وتم التأكيد على الالتزام الصارم بهذه التعليمات، محذراً من أن أي انحراف عنها قد يؤدي إلى خسارة أموال لا رجعة فيها.

يتم أيضًا توفير تفاصيل الاتصال، بما في ذلك ToxID ورابط تنزيل TOXChat، لضحايا التهديد. تحذر مذكرة الفدية من أن عدم الامتثال لمطالب الدفع سيؤدي إلى بيع ملفات الشركة وقواعد البيانات المجمعة إلى أطراف ثالثة أو كشفها للعامة. يحدد المهاجمون مسار عملهم إذا رفض الضحايا الدفع، بما في ذلك تنظيم مزادات على مواقع DarkNet لبيع الملفات المسربة والاتصال المباشر مع المشترين المحتملين لعرض معلومات مخترقة للبيع.

يؤكد مجرمو الإنترنت على أهمية الاتصال المباشر لتجنب الخدمات الوسيطة التي قد تضلل الضحايا وتحتفظ بالمدفوعات. وتؤكد المذكرة للضحايا أن التواصل المباشر يضمن نجاح المفاوضات ويؤكد الالتزام بالتفاعلات المهذبة والمفيدة للطرفين.

على الرغم من الطبيعة القسرية لمذكرة الفدية، لا يتم تشجيع المستخدمين بشدة على دفع الفدية بسبب المخاطر الكامنة التي تنطوي عليها. وعود المهاجمين باستعادة الملف عند الدفع تفتقر إلى الضمانات. علاوة على ذلك، تم تسليط الضوء على الإزالة السريعة لبرامج الفدية من الأنظمة المخترقة باعتبارها أمرًا ضروريًا لتقليل احتمال حدوث المزيد من الضرر، بما في ذلك التشفير الإضافي للملفات.

تعزيز أمان أجهزتك ضد هجمات برامج الفدية والبرامج الضارة

لا تزال هجمات برامج الفدية تشكل تهديدًا مستمرًا في المشهد الرقمي، مما يتسبب في فقدان محتمل للبيانات وأضرار مالية للمستخدمين. يعد تعزيز دفاعك ضد مثل هذه الأنشطة غير الآمنة أمرًا ضروريًا. فيما يلي خمسة إجراءات أمنية أساسية يمكن للمستخدمين تنفيذها على أجهزتهم لتعزيز الحماية ضد هجمات برامج الفدية.

• النسخ الاحتياطية المنتظمة : قم بإجراء نسخ احتياطية منتظمة لبياناتك المهمة على محركات أقراص خارجية أو منصات سحابية آمنة. في الحلقة المؤسفة من هجوم برامج الفدية، يتيح الحصول على نسخ احتياطية محدثة إمكانية التعافي السريع دون الخضوع للابتزاز.
• تحديثات البرامج : حافظ على تحديث نظام التشغيل وبرامج الأمان والتطبيقات لديك. يقوم بتحديث نقاط الضعف في الوقت المناسب والتي قد تستغلها برامج الفدية، مما يعزز الوضع الأمني العام لجهازك.
• اليقظة عبر البريد الإلكتروني : كن حذرًا عند التعامل مع رسائل البريد الإلكتروني، خاصة تلك التي تحتوي على مرفقات أو روابط غير متوقعة. تعد رسائل البريد الإلكتروني التصيدية طريقة شائعة لتسليم برامج الفدية. حاول عدم الوصول إلى الروابط المشبوهة وتحقق من صحة رسائل البريد الإلكتروني غير المتوقعة قبل اتخاذ أي إجراء.
• برامج أمان عالية الجودة : قم بتثبيت برامج مكافحة البرامج الضارة ذات السمعة الطيبة. قم بتكوين هذه الأدوات لإجراء عمليات فحص منتظمة وتحديث قواعد البيانات الخاصة بها باستمرار. يمكن لبرنامج الأمان الموثوق به اكتشاف تهديدات برامج الفدية وإحباطها قبل أن تعرض نظامك للخطر.
• تدابير أمن الشبكة : قم بتعزيز أمان شبكتك باستخدام جدران الحماية وتنفيذ أنظمة كشف/منع التسلل. يساعد تقييد الوصول غير المصرح به إلى شبكتك على منع انتشار برامج الفدية داخل نظامك، مما يؤدي إلى حماية الملفات المهمة.

يمكن أن يؤدي تنفيذ هذه التدابير الأمنية إلى تعزيز مرونة جهازك بشكل كبير ضد هجمات برامج الفدية. ومن خلال الجمع بين التدابير الاستباقية ويقظة المستخدم وأدوات الأمان المناسبة، يمكن للمستخدمين تقليل مخاطر الوقوع ضحية لبرامج الفدية وحماية أصولهم الرقمية القيمة. ابق على اطلاع، ابق آمنًا.

النص الكامل لمذكرة الفدية التي تم إسقاطها على الأجهزة المصابة ببرنامج GoodMorning Ransomware هو:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'