GoodMorning Ransomware

사이버 보안 연구원들은 맬웨어 위협을 조사하는 동안 GoodMorning이라는 특히 강력한 랜섬웨어를 식별했습니다. 시스템에 침투하면 GoodMorning은 대상 장치에 존재하는 광범위한 파일 형식에 영향을 미치는 파일 암호화 프로세스에 참여합니다. 랜섬웨어는 고유한 서명의 일부로 암호화된 파일의 원본 파일 이름에 '.goodmorning' 확장자를 추가합니다. 그 후 위협은 'how_to_back_files.html'이라는 랜섬노트를 남깁니다.

GoodMorning에서 사용하는 파일 이름 변경 방법을 설명하기 위해 '1.png'와 같은 파일 이름을 '1.jpg.goodmorning'으로, '2.pdf'를 '2.png.goodmorning'으로 변환하여 파일의 일관된 변경을 보여줍니다. 확장. 사이버 보안 전문가들이 실시한 세심한 분석을 통해 GoodMorning이 Globe Imposter 랜섬웨어 제품군 내의 변종으로 확인되었다는 점은 주목할 만합니다. 이 분류는 공유된 특성과 동작을 가진 더 넓은 범주의 랜섬웨어와 연결되어 있음을 나타냅니다.

GoodMorning 랜섬웨어는 데이터를 인질로 삼아 피해자를 갈취하려고 합니다.

GoodMorning 랜섬웨어가 발행한 랜섬노트는 중요한 데이터가 암호화되었으며 암호 해독기를 통해서만 복원할 수 있다고 주장하면서 끔찍한 상황을 전달합니다. 몸값 요구에는 75,000 USD 이상에 해당하는 1.5 BTC의 지불이 지정되어 있습니다. 그러나 비트코인의 변동성 특성을 고려하면 정확한 가격은 단기간에 급격하게 변할 수 있습니다.

Binance 또는 Coinbase와 같은 플랫폼에서 Bitcoin을 획득하는 방법에 대한 지침이 제공되며 지불은 지정된 BTC 지갑으로 전달될 것으로 예상되며 세부 정보는 공격자에게 연락한 후 제공됩니다. 본 지침을 엄격히 준수할 것을 강조하며, 위반 시 되돌릴 수 없는 자금 손실이 발생할 수 있음을 경고합니다.

ToxID 및 TOXChat 다운로드 링크를 포함한 연락처 정보도 위협 피해자에게 제공됩니다. 랜섬노트는 지불 요구를 준수하지 않을 경우 수집된 기업 파일 및 데이터베이스가 제3자에게 판매되거나 공개적으로 노출될 수 있다고 경고합니다. 공격자들은 피해자가 지불을 거부할 경우 유출된 파일을 판매하기 위해 DarkNet 사이트에서 경매를 조직하고 잠재적인 구매자와 직접 연락하여 손상된 정보를 판매하는 등의 조치를 취합니다.

사이버범죄자들은 피해자의 지불금을 오해하고 유보할 수 있는 중개 서비스를 피하기 위해 직접적인 의사소통의 중요성을 강조합니다. 이 메모는 직접적인 의사소통이 성공적인 협상을 보장하고 정중하고 상호 이익이 되는 상호 작용에 대한 헌신을 강조한다는 점을 피해자에게 확신시켜 줍니다.

몸값 메모의 강압적인 성격에도 불구하고 사용자는 내재된 위험으로 인해 몸값을 지불하지 않는 것이 좋습니다. 지불 시 파일 복원에 대한 공격자의 약속은 보장되지 않습니다. 또한 손상된 시스템에서 랜섬웨어를 즉시 제거하는 것은 추가 파일 암호화를 포함하여 추가 손상 가능성을 최소화하는 데 매우 중요합니다.

랜섬웨어 및 맬웨어 공격으로부터 장치의 보안을 강화하세요

랜섬웨어 공격은 디지털 환경에서 계속해서 지속적인 위협이 되어 잠재적인 데이터 손실과 사용자에게 금전적인 피해를 초래하고 있습니다. 그러한 위험한 활동에 대한 방어를 강화하는 것이 필수적입니다. 랜섬웨어 공격에 대한 보호를 강화하기 위해 사용자가 장치에 구현할 수 있는 5가지 필수 보안 조치는 다음과 같습니다.

• 정기 백업 : 외부 드라이브 또는 보안 클라우드 플랫폼에 중요한 데이터를 정기적으로 백업합니다. 랜섬웨어 공격이 발생한 불행한 상황에서 최신 백업을 보유하면 강탈에 굴하지 않고 신속한 복구가 가능합니다.
• 소프트웨어 업데이트 : 운영 체제, 보안 소프트웨어, 애플리케이션을 최신 상태로 유지하세요. 랜섬웨어가 악용할 수 있는 패치 취약점을 적시에 업데이트하여 장치의 전반적인 보안 상태를 강화합니다.
• 이메일 경계 : 이메일, 특히 예상치 못한 첨부 파일이나 링크가 포함된 이메일을 처리할 때 주의를 기울이십시오. 피싱 이메일은 일반적인 랜섬웨어 전달 방법입니다. 어떤 조치를 취하기 전에 의심스러운 링크에 접근하지 말고 예상치 못한 이메일의 진위 여부를 확인하십시오.
• 품질 보안 소프트웨어 : 평판이 좋은 맬웨어 방지 소프트웨어를 설치합니다. 정기적인 검사를 수행하고 지속적으로 데이터베이스를 업데이트하도록 이러한 도구를 구성하십시오. 신뢰할 수 있는 보안 소프트웨어는 랜섬웨어 위협이 시스템을 손상시키기 전에 이를 감지하고 차단할 수 있습니다.
• 네트워크 보안 조치 : 방화벽을 사용하고 침입 탐지/방지 시스템을 구현하여 네트워크 보안을 강화합니다. 네트워크에 대한 무단 액세스를 제한하면 시스템 내 랜섬웨어 확산을 방지하고 중요한 파일을 보호할 수 있습니다.

이러한 보안 조치를 구현하면 랜섬웨어 공격에 대한 장치의 복원력이 크게 향상될 수 있습니다. 사전 조치, 사용자 경계, 올바른 보안 도구를 결합함으로써 사용자는 랜섬웨어의 피해를 입을 위험을 최소화하고 귀중한 디지털 자산을 보호할 수 있습니다. 정보를 얻고 보안을 유지하세요.

GoodMorning 랜섬웨어에 감염된 장치에 드롭된 랜섬노트의 전체 텍스트는 다음과 같습니다.

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'