GoodMorning Ransomware

Haittaohjelmauhkia tutkiessaan kyberturvallisuustutkijat ovat tunnistaneet erityisen mahtavan lunnasohjelman, joka tunnetaan nimellä GoodMorning. Järjestelmään tunkeutuessaan GoodMorning ryhtyy tiedostojen salausprosessiin, joka vaikuttaa laajaan kohdelaitteessa oleviin tiedostotyyppeihin. Osana tunnusmerkkiään kiristysohjelma liittää salattujen tiedostojen alkuperäisiin tiedostonimiin .goodmorning-tunnisteen. Myöhemmin uhka jättää jälkeensä lunnaat, jonka nimi on "how_to_back_files.html".

GoodMorningin käyttämän tiedostojen uudelleennimeämismenetelmän havainnollistamiseksi se muuntaa tiedostonimet, kuten "1.png" muotoon "1.jpg.goodmorning" ja "2.pdf" muotoon "2.png.goodmorning", mikä osoittaa tiedoston johdonmukaisen muuttamisen laajennuksia. On huomionarvoista, että kyberturvallisuusasiantuntijoiden tekemä huolellinen analyysi on vahvistanut GoodMorningin vaihtoehdoksi Globe Imposter Ransomware -perheeseen. Tämä luokitus osoittaa yhteyden laajempaan kiristysohjelmien luokkaan, jolla on yhteisiä ominaisuuksia ja käyttäytymistä.

GoodMorning Ransomware yrittää kiristää uhrinsa ottamalla heidän tietonsa panttivangiksi

GoodMorning Ransomwaren julkaisema lunnaita koskeva viesti kertoo vakavasta tilanteesta ja väittää, että tärkeät tiedot on salattu ja ne voidaan palauttaa vain salauksenpurkua käyttämällä. Lunnasvaatimus määrittelee maksun 1,5 BTC, mikä vastaa yli 75 000 USD. Bitcoinin epävakaa luonne huomioon ottaen tarkka hinta voi kuitenkin muuttua dramaattisesti lyhyessä ajassa.

Tarjolla on ohjeet Bitcoinin hankkimiseen alustoilta, kuten Binance tai Coinbase, ja maksun odotetaan ohjattavan tiettyyn BTC-lompakkoon, jonka tiedot toimitetaan, kun olet ottanut yhteyttä hyökkääjiin. Korostetaan näiden ohjeiden tiukkaa noudattamista ja varoitetaan, että mikä tahansa poikkeama voi johtaa peruuttamattomaan varojen menetykseen.

Uhan uhreille annetaan myös yhteystiedot, mukaan lukien ToxID ja linkki TOXChatin latausta varten. Lunnaslappu varoittaa, että maksuvaatimusten noudattamatta jättäminen johtaa kerättyjen yritystiedostojen ja tietokantojen myyntiin kolmansille osapuolille tai niiden julkistamiseen. Hyökkääjät hahmottelevat toimintatapansa, jos uhrit kieltäytyvät maksamasta, mukaan lukien huutokauppojen järjestäminen DarkNet-sivustoilla vuotaneiden tiedostojen myymiseksi ja suora yhteys mahdollisiin ostajiin tarjotakseen vaarantunutta tietoa myyntiin.

Kyberrikolliset korostavat suoran viestinnän tärkeyttä, jotta vältetään välityspalvelut, jotka voivat johtaa harhaan ja pidättää uhreilta maksuja. Muistiinpano vakuuttaa uhreille, että suora kommunikointi varmistaa onnistuneet neuvottelut ja korostaa sitoutumista kohteliaiseen ja molempia osapuolia hyödyttävään vuorovaikutukseen.

Huolimatta lunastussetelin pakottavasta luonteesta, käyttäjät eivät halua maksaa lunnaita siihen liittyvien riskien vuoksi. Hyökkääjien lupaukset tiedostojen palauttamisesta maksua vastaan eivät ole takeita. Lisäksi kiristysohjelmien nopeaa poistamista vaarantuneista järjestelmistä korostetaan ratkaisevan tärkeänä lisävahingon mahdollisen minimoimisen kannalta, mukaan lukien tiedostojen lisäsalaukset.

Paranna laitteidesi turvallisuutta kiristysohjelmia ja haittaohjelmahyökkäyksiä vastaan

Ransomware-hyökkäykset ovat edelleen jatkuva uhka digitaalisessa ympäristössä, mikä voi aiheuttaa tietojen menetyksen ja taloudellista haittaa käyttäjille. On välttämätöntä vahvistaa puolustusta tällaisia vaarallisia toimia vastaan. Tässä on viisi olennaista turvatoimenpidettä, joita käyttäjät voivat toteuttaa laitteillaan vahvistaakseen suojaa kiristysohjelmahyökkäyksiä vastaan.

• Säännölliset varmuuskopiot : Varmuuskopioi säännöllisesti tärkeitä tietojasi ulkoisille asemille tai suojatuille pilvialustoille. Kiristysohjelmahyökkäyksen valitettavassa jaksossa ajantasaiset varmuuskopiot mahdollistavat nopean toipumisen ilman, että sormitaan kiristyksestä.
• Ohjelmistopäivitykset : Pidä käyttöjärjestelmäsi, tietoturvaohjelmistosi ja sovelluksesi ajan tasalla. Päivittää ajoissa haavoittuvuuksia, joita kiristysohjelmat voivat hyödyntää, mikä parantaa laitteesi yleistä suojausasentoa.
• Sähköpostin valvonta : Ole varovainen käsitellessäsi sähköposteja, erityisesti sellaisia, jotka sisältävät odottamattomia liitteitä tai linkkejä. Tietojenkalasteluviestit ovat yleinen kiristysohjelmien toimitustapa. Älä käytä epäilyttäviä linkkejä ja varmista odottamattomien sähköpostien aitous ennen kuin ryhdyt toimiin.
• Laadukas suojausohjelmisto : Asenna hyvämaineinen haittaohjelmien torjuntaohjelmisto. Määritä nämä työkalut suorittamaan säännöllisiä tarkistuksia ja päivittämään tietokantansa johdonmukaisesti. Luotettava tietoturvaohjelmisto voi havaita ja estää lunnasohjelmauhat ennen kuin ne vaarantavat järjestelmän.
• Verkon suojaustoimenpiteet : Vahvista verkkosi turvallisuutta käyttämällä palomuureja ja ottamalla käyttöön tunkeutumisen havainnointi- ja estojärjestelmiä. Luvattoman pääsyn rajoittaminen verkkoon auttaa estämään kiristysohjelmien leviämisen järjestelmässäsi ja suojaa kriittisiä tiedostoja.

Näiden suojaustoimenpiteiden käyttöönotto voi merkittävästi parantaa laitteesi vastustuskykyä kiristysohjelmahyökkäyksiä vastaan. Yhdistämällä ennakoivia toimenpiteitä, käyttäjien valppautta ja oikeat suojaustyökalut käyttäjät voivat minimoida kiristysohjelmien uhriksi joutumisen riskin ja suojata arvokasta digitaalista omaisuuttaan. Pysy ajan tasalla, pysy turvassa.

GoodMorning Ransomwaren saastuttamiin laitteisiin pudotetun lunnaita koskevan setelin koko teksti on:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'