GoodMorning Ransomware
במהלך בחינת איומי תוכנות זדוניות, חוקרי אבטחת סייבר זיהו תוכנת כופר אדירה במיוחד המכונה GoodMorning. עם חדירת מערכת, GoodMorning עוסקת בתהליך של הצפנת קבצים המשפיעה על קשת רחבה של סוגי קבצים הקיימים במכשיר המיועד. כחלק מהחתימה הייחודית שלה, תוכנת הכופר מוסיפה את סיומת '.goodmorning' לשמות הקבצים המקוריים של הקבצים המוצפנים. לאחר מכן, האיום מותיר אחריו פתק כופר בשם 'how_to_back_files.html'.
כדי להמחיש את מתודולוגיית שינוי שמות הקבצים בה משתמש GoodMorning, היא הופכת שמות קבצים כגון '1.png' ל-'1.jpg.goodmorning' ו-'2.pdf' ל-'2.png.goodmorning', מה שמדגים שינוי עקבי של הקובץ הרחבות. ראוי לציין שהניתוח המדוקדק שנערך על ידי מומחי אבטחת סייבר קבע את GoodMorning כגרסה בתוך משפחת Globe Imposter Ransomware . סיווג זה מצביע על קשר לקטגוריה רחבה יותר של תוכנות כופר עם מאפיינים והתנהגויות משותפים.
תוכנת הכופר של GoodMorning מבקשת לסחוט את קורבנותיה על ידי לקיחת הנתונים שלהם כבני ערובה
תעודת הכופר שהונפקה על ידי GoodMorning Ransomware מתקשרת למצב חמור וטוען כי נתונים חיוניים עברו הצפנה וניתן לשחזר אותם רק באמצעות שימוש במפענח. דרישת הכופר מציינת תשלום של 1.5 BTC, שווה ערך ליותר מ-75,000 דולר. עם זאת, בהתחשב באופי ההפכפך של הביטקוין, המחיר המדויק עשוי להשתנות באופן דרסטי תוך פרק זמן קצר.
ניתנות הנחיות כיצד לרכוש ביטקוין מפלטפורמות כמו Binance או Coinbase, והתשלום צפוי להיות מופנה לארנק BTC שצוין, פרטיו מסופקים לאחר יצירת קשר עם התוקפים. מושם דגש על שמירה קפדנית על הוראות אלו, תוך התראה כי כל חריגה עלולה לגרום לאובדן כספים בלתי הפיך.
פרטי הקשר, כולל ToxID וקישור להורדה של TOXChat, מסופקים גם לקורבנות האיום. בתעודת הכופר מזהירים כי אי עמידה בדרישות התשלום תוביל למכירת קבצי תאגיד ומאגרי מידע שנאספו לצדדים שלישיים או חשיפתם הציבורית. התוקפים מתארים את דרכי הפעולה שלהם אם הקורבנות מסרבים תשלום, כולל ארגון מכירות פומביות באתרי DarkNet למכירת קבצים שדלפו ומגע ישיר עם קונים פוטנציאליים כדי להציע למכירה מידע שנפגע.
פושעי הסייבר מדגישים את החשיבות של תקשורת ישירה כדי להימנע משירותי מתווך שעלולים להטעות ולשמור על תשלומים מהקורבנות. הפתק מבטיח לקורבנות שתקשורת ישירה מבטיחה משא ומתן מוצלח ומדגישה מחויבות לאינטראקציות מנומסות ומועילות הדדית.
למרות האופי הכפייה של שטר הכופר, משתמשים מאוד לא מעודדים לשלם את הכופר בשל הסיכונים הכרוכים בכך. הבטחות התוקפים לשחזור קבצים עם תשלום חסרות ערבויות. יתר על כן, הסרה מיידית של תוכנות כופר ממערכות שנפגעו מודגשת כחיונית כדי למזער את הפוטנציאל לנזק נוסף, כולל הצפנת קבצים נוספת.
שפר את האבטחה של המכשירים שלך מפני התקפות כופר ותוכנות זדוניות
התקפות כופר ממשיכות להוות איום מתמשך בנוף הדיגיטלי, וגורמות לאובדן נתונים פוטנציאלי ולנזק כספי למשתמשים. חיזוק ההגנה שלך מפני פעילויות לא בטוחות כאלה הוא הכרחי. להלן חמישה אמצעי אבטחה חיוניים שמשתמשים יכולים ליישם במכשירים שלהם כדי לחזק את ההגנה מפני התקפות כופר.
- גיבויים רגילים : בצע גיבויים קבועים של הנתונים הקריטיים שלך בכוננים חיצוניים או בפלטפורמות ענן מאובטחות. בפרק המצער של מתקפת כופר, גיבויים עדכניים מאפשרים התאוששות מהירה מבלי להיכנע לסחיטה.
- עדכוני תוכנה : עדכנו את מערכת ההפעלה, תוכנות האבטחה והיישומים שלכם. עדכונים בזמן פגיעויות תיקון תוכנות כופר עשויות לנצל, מה שמשפר את עמדת האבטחה הכוללת של המכשיר שלך.
- ערנות דוא"ל : היזהר בעת התמודדות עם דוא"ל, במיוחד אלה המכילים קבצים מצורפים או קישורים בלתי צפויים. הודעות דוא"ל פישינג הן שיטת משלוח נפוצה של תוכנות כופר. נסה לא לגשת לקישורים חשודים ולאמת את האותנטיות של הודעות דוא"ל בלתי צפויות לפני שתנקוט בפעולות כלשהן.
- תוכנת אבטחה איכותית : התקן תוכנת אנטי-זדונית מוכרת. הגדר את הכלים האלה כדי לבצע סריקות רגילות ולעדכן את מסדי הנתונים שלהם באופן עקבי. תוכנת אבטחה אמינה יכולה לזהות ולסכל איומי כופר לפני שהם פוגעים במערכת שלך.
- אמצעי אבטחת רשת : חזקו את אבטחת הרשת שלכם על ידי שימוש בחומות אש והטמעת מערכות זיהוי/מניעת חדירה. הגבלת גישה לא מורשית לרשת שלך עוזרת למנוע התפשטות של תוכנות כופר במערכת שלך, תוך שמירה על קבצים קריטיים.
יישום אמצעי אבטחה אלה יכול לשפר משמעותית את חוסנו של המכשיר שלך מפני התקפות כופר. על ידי שילוב של אמצעים יזומים, ערנות משתמשים וכלי האבטחה הנכונים, משתמשים יכולים למזער את הסיכון ליפול קורבן לתוכנת כופר ולהגן על הנכסים הדיגיטליים היקרים שלהם. הישארו מעודכנים, הישארו בטוחים.
כל הטקסט של פתק הכופר שנשלח למכשירים שנדבקו ב- GoodMorning Ransomware הוא:
'YOUR PERSONAL ID
ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )
Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trustBTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.
Our contact:
ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D
You can download TOXChat here : hxxps://tox.chat/download.html
The message must contain your Personal ID! it is at top of this document.
Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.
HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.If there are no buyers willing to buy, we simply publish everything that we have in public resources.
Attention!
If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'
