GoodMorning рансъмуер

По време на изследването на заплахите от зловреден софтуер, изследователите на киберсигурността са идентифицирали особено страхотен ransomware, известен като GoodMorning. При проникване в система GoodMorning се включва в процес на криптиране на файлове, който засяга широк спектър от типове файлове, присъстващи на целевото устройство. Като част от отличителния си подпис рансъмуерът добавя разширението „.goodmorning“ към оригиналните файлови имена на криптираните файлове. Впоследствие заплахата оставя след себе си бележка за откуп, наречена „how_to_back_files.html“.

За да илюстрира методологията за преименуване на файлове, използвана от GoodMorning, тя трансформира имена на файлове като „1.png“ в „1.jpg.goodmorning“ и „2.pdf“ в „2.png.goodmorning“, демонстрирайки последователна промяна на файла разширения. Трябва да се отбележи, че щателният анализ, извършен от експерти по киберсигурност, установи GoodMorning като вариант в семейството на Globe Imposter Ransomware . Тази класификация показва връзка с по-широка категория рансъмуер със споделени характеристики и поведение.

Рансъмуерът GoodMorning се стреми да изнудва своите жертви, като взема данните им за заложници

Бележката за откуп, издадена от GoodMorning Ransomware, съобщава за ужасна ситуация, като твърди, че жизненоважни данни са претърпели криптиране и могат да бъдат възстановени само чрез използване на дешифратор. Искането за откуп посочва плащане от 1,5 BTC, което се равнява на над 75 000 USD. Въпреки това, като се има предвид нестабилният характер на биткойн, точната цена може да се промени драстично за кратък период от време.

Предоставени са инструкции как да се придобие биткойн от платформи като Binance или Coinbase и се очаква плащането да бъде насочено към определен BTC портфейл, подробностите за който се предоставят след контакт с нападателите. Акцентира се върху стриктното спазване на тези инструкции, като се предупреждава, че всяко отклонение може да доведе до необратима загуба на средства.

Данни за контакт, включително ToxID и връзка за изтегляне на TOXChat, също се предоставят на жертвите на заплахата. Бележката за откуп предупреждава, че неспазването на исканията за плащане ще доведе до продажба на събраните корпоративни файлове и бази данни на трети страни или публичното им излагане. Нападателите очертават курса си на действие, ако жертвите откажат плащане, включващи организиране на търгове в сайтове на DarkNet за продажба на изтекли файлове и директен контакт с потенциални купувачи, за да предложат компрометирана информация за продажба.

Киберпрестъпниците подчертават значението на директната комуникация, за да се избегнат посреднически услуги, които могат да подведат и задържат плащания от жертвите. Бележката уверява жертвите, че директната комуникация гарантира успешни преговори и подчертава ангажимента за учтиви и взаимноизгодни взаимодействия.

Въпреки принудителния характер на бележката за откуп, потребителите са силно обезсърчени да плащат откупа поради включените присъщи рискове. Обещанията на нападателите за възстановяване на файлове при плащане нямат гаранции. Освен това, бързото премахване на рансъмуер от компрометирани системи се подчертава като решаващо за минимизиране на потенциала за по-нататъшни щети, включително допълнително криптиране на файлове.

Увеличете сигурността на вашите устройства срещу рансъмуер и злонамерен софтуер

Ransomware атаките продължават да бъдат постоянна заплаха в цифровия пейзаж, причинявайки потенциална загуба на данни и финансови щети за потребителите. Засилването на вашата защита срещу такива опасни дейности е наложително. Ето пет основни мерки за сигурност, които потребителите могат да приложат на своите устройства, за да подобрят защитата срещу атаки на ransomware.

• Редовно архивиране : Правете редовно архивиране на вашите критични данни на външни дискове или защитени облачни платформи. В злощастния епизод на атака на ransomware наличието на актуални архиви позволява бързо възстановяване, без да се поддавате на изнудване.
• Актуализации на софтуера : Поддържайте актуализирани вашата операционна система, софтуер за сигурност и приложения. Навременни актуализации коригира уязвимостите, които рансъмуерът може да използва, подобрявайки цялостната позиция на сигурност на вашето устройство.
• Бдителност към имейлите : Бъдете внимателни, когато работите с имейли, особено тези, съдържащи неочаквани прикачени файлове или връзки. Фишинг имейлите са често срещан метод за доставка на ransomware. Опитайте се да нямате достъп до подозрителни връзки и проверете автентичността на неочакваните имейли, преди да предприемете каквито и да било действия.
• Качествен софтуер за сигурност : Инсталирайте уважаван софтуер против зловреден софтуер. Конфигурирайте тези инструменти за извършване на редовни сканирания и последователно актуализиране на техните бази данни. Надеждният софтуер за сигурност може да открие и осуети заплахите за ransomware, преди да компрометират вашата система.
• Мерки за мрежова сигурност : Укрепете вашата мрежова сигурност чрез използване на защитни стени и внедряване на системи за откриване/предотвратяване на проникване. Ограничаването на неоторизиран достъп до вашата мрежа помага за предотвратяване на разпространението на ransomware във вашата система, защитавайки критични файлове.

Прилагането на тези мерки за сигурност може значително да подобри устойчивостта на вашето устройство срещу атаки на ransomware. Чрез комбиниране на проактивни мерки, бдителност на потребителите и правилните инструменти за сигурност, потребителите могат да сведат до минимум риска да станат жертва на ransomware и да защитят своите ценни цифрови активи. Бъдете информирани, бъдете сигурни.

Целият текст на бележката за откуп, пусната на устройства, заразени от рансъмуера GoodMorning, е:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'