GoodMorning Ransomware

Nagrinėdami kenkėjiškų programų grėsmes, kibernetinio saugumo tyrėjai nustatė ypač grėsmingą išpirkos programą, žinomą kaip GoodMorning. Įsiskverbusi į sistemą, „GoodMorning“ pradeda failų šifravimo procesą, kuris paveikia platų failų tipų, esančių tiksliniame įrenginyje, spektrą. Kaip savo išskirtinio parašo dalį, išpirkos reikalaujanti programa prideda plėtinį „.goodmorning“ prie originalių šifruotų failų failų pavadinimų. Vėliau grėsmė palieka išpirkos raštelį pavadinimu „how_to_back_files.html“.

Siekdama iliustruoti GoodMorning naudojamą failų pervadinimo metodiką, ji paverčia tokius failų pavadinimus kaip „1.png“ į „1.jpg.goodmorning“ ir „2.pdf“ į „2.png.goodmorning“, parodydama nuoseklų failo pakeitimą. plėtiniai. Pastebėtina, kad kruopšti kibernetinio saugumo ekspertų atlikta analizė nustatė, kad „GoodMorning“ yra „Globe Imposter Ransomware“ šeimos variantas. Ši klasifikacija rodo ryšį su platesne išpirkos reikalaujančių programų kategorija, kuriai būdingos bendros savybės ir elgesys.

„GoodMorning Ransomware“ siekia išvilioti savo aukas paimdama įkaitais jų duomenis

„GoodMorning Ransomware“ išleistame išpirkos rašte pranešama apie baisią situaciją, tvirtinama, kad svarbūs duomenys buvo užšifruoti ir juos galima atkurti tik naudojant iššifravimo priemonę. Išpirkos reikalavimas nurodo 1,5 BTC mokėjimą, atitinkantį daugiau nei 75 000 USD. Tačiau, atsižvelgiant į nepastovų Bitcoin pobūdį, tiksli kaina per trumpą laiką gali smarkiai pasikeisti.

Pateikiamos instrukcijos, kaip įsigyti Bitcoin iš tokių platformų kaip Binance ar Coinbase, o mokėjimas turėtų būti nukreiptas į nurodytą BTC piniginę, kurios duomenys pateikiami susisiekus su užpuolikais. Pabrėžiamas griežtas šių nurodymų laikymasis, įspėjant, kad bet koks nukrypimas gali negrįžtamai prarasti lėšas.

Grėsmės aukoms taip pat pateikiama kontaktinė informacija, įskaitant ToxID ir nuorodą TOXChat atsisiuntimui. Išpirkos rašte įspėjama, kad neįvykdžius mokėjimo reikalavimų, surinktos įmonių bylos ir duomenų bazės bus parduotos trečiosioms šalims arba bus atskleistos viešai. Užpuolikai apibūdina savo veiksmų planą, jei aukos atsisako mokėti, įskaitant aukcionus „DarkNet“ svetainėse, skirtus parduoti nutekintus failus, ir tiesioginį ryšį su potencialiais pirkėjais, kad pasiūlytų parduoti pažeistą informaciją.

Kibernetiniai nusikaltėliai pabrėžia tiesioginio bendravimo svarbą siekiant išvengti tarpininkavimo paslaugų, kurios gali suklaidinti ir sulaikyti mokėjimus iš aukų. Raštas užtikrina aukoms, kad tiesioginis bendravimas užtikrina sėkmingas derybas ir pabrėžia įsipareigojimą mandagiai ir abipusiai naudingai bendrauti.

Nepaisant priverstinio išpirkos raštelio pobūdžio, vartotojai labai neskatina išpirkos mokėti dėl su tuo susijusios rizikos. Užpuolikų pažadai atkurti failus sumokėjus nėra garantijų. Be to, greitas išpirkos reikalaujančių programų pašalinimas iš pažeistų sistemų pabrėžiamas kaip itin svarbus veiksnys siekiant sumažinti tolesnės žalos galimybę, įskaitant papildomą failų šifravimą.

Padidinkite savo įrenginių apsaugą nuo išpirkos reikalaujančių ir kenkėjiškų programų atakų

Išpirkos reikalaujančios programinės įrangos atakos ir toliau kelia nuolatinę grėsmę skaitmeninėje aplinkoje, todėl gali prarasti duomenis ir sukelti finansinę žalą vartotojams. Būtina sustiprinti savo apsaugą nuo tokios nesaugios veiklos. Čia yra penkios pagrindinės saugos priemonės, kurias vartotojai gali įdiegti savo įrenginiuose, kad sustiprintų apsaugą nuo išpirkos reikalaujančių programų atakų.

• Reguliarios atsarginės kopijos : reguliariai kurkite svarbių duomenų atsargines kopijas išoriniuose diskuose arba saugiose debesų platformose. Esant nelaimingam išpirkos reikalaujančios programinės įrangos atakos epizodui, naujausios atsarginės kopijos leidžia greitai atsigauti nepasiduodant prievartavimui.
• Programinės įrangos naujiniai : atnaujinkite operacinę sistemą, saugos programinę įrangą ir programas. Laiku atnaujinami pažeidžiamumai, kuriuos gali išnaudoti išpirkos reikalaujančios programos, pagerinant bendrą įrenginio saugos padėtį.
• El. pašto budrumas : būkite atsargūs tvarkydami el. laiškus, ypač tuos, kuriuose yra netikėtų priedų ar nuorodų. Sukčiavimo el. laiškai yra įprastas išpirkos reikalaujančių programų pristatymo būdas. Stenkitės nepasiekti įtartinų nuorodų ir prieš imdamiesi kokių nors veiksmų patikrinkite netikėtų el. laiškų autentiškumą.
• Kokybiška saugos programinė įranga : įdiekite patikimą apsaugos nuo kenkėjiškų programų programinę įrangą. Sukonfigūruokite šiuos įrankius, kad galėtumėte reguliariai nuskaityti ir nuosekliai atnaujinti jų duomenų bazes. Patikima saugos programinė įranga gali aptikti ir sutrukdyti išpirkos reikalaujančias programinės įrangos grėsmes, kol jos nepažeidžia jūsų sistemos.
• Tinklo saugos priemonės : sustiprinkite tinklo saugumą naudodami užkardas ir įdiegdami įsibrovimo aptikimo / prevencijos sistemas. Neteisėtos prieigos prie tinklo ribojimas padeda užkirsti kelią išpirkos reikalaujančių programų plitimui jūsų sistemoje ir apsaugoti svarbius failus.

Šių saugos priemonių įgyvendinimas gali žymiai padidinti jūsų įrenginio atsparumą išpirkos reikalaujančių programų atakoms. Derindami aktyvias priemones, naudotojų budrumą ir tinkamus saugos įrankius, vartotojai gali sumažinti riziką tapti išpirkos reikalaujančios programinės įrangos aukomis ir apsaugoti savo vertingą skaitmeninį turtą. Būkite informuoti, būkite saugūs.

Visas išpirkos rašto tekstas, numestas į įrenginius, užkrėstus GoodMorning Ransomware, yra:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'