GoodMorning Ransomware

Pārbaudot ļaunprātīgas programmatūras draudus, kiberdrošības pētnieki ir identificējuši īpaši lielu izspiedējprogrammatūru, kas pazīstama kā GoodMorning. Iefiltrējoties sistēmā, GoodMorning iesaistās failu šifrēšanas procesā, kas ietekmē plašu failu tipu spektru, kas atrodas mērķa ierīcē. Kā daļu no sava atšķirīgā paraksta izspiedējprogrammatūra pievieno paplašinājumu “.goodmorning” šifrēto failu oriģinālajiem failu nosaukumiem. Pēc tam draudi atstāj aiz sevis izpirkuma maksu ar nosaukumu “how_to_back_files.html”.

Lai ilustrētu GoodMorning izmantoto failu pārdēvēšanas metodiku, tas pārveido tādus failu nosaukumus kā "1.png" par "1.jpg.goodmorning" un "2.pdf" par "2.png.goodmorning", demonstrējot konsekventas faila izmaiņas. paplašinājumi. Jāatzīmē, ka kiberdrošības ekspertu veiktā rūpīgā analīze ir izveidojusi GoodMorning kā Globe Imposter Ransomware saimes variantu. Šī klasifikācija norāda uz saistību ar plašāku izspiedējvīrusu kategoriju ar kopīgām īpašībām un uzvedību.

GoodMorning Ransomware cenšas izspiest savus upurus, sagrābjot viņu datus par ķīlnieku

GoodMorning Ransomware izdotajā izpirkuma naudas vēstulē ir sniegta informācija par briesmīgu situāciju, apgalvojot, ka svarīgi dati ir šifrēti un tos var atjaunot, tikai izmantojot atšifrētāju. Izpirkuma pieprasījumā ir norādīts maksājums 1,5 BTC, kas atbilst vairāk nekā 75 000 USD. Tomēr, ņemot vērā Bitcoin nepastāvīgo raksturu, precīza cena īsā laika periodā var krasi mainīties.

Tiek sniegti norādījumi par to, kā iegūt Bitcoin no tādām platformām kā Binance vai Coinbase, un ir paredzēts, ka maksājums tiks novirzīts uz noteiktu BTC maku, kura informācija tiek sniegta pēc sazināšanās ar uzbrucējiem. Uzsvars tiek likts uz šo instrukciju stingru ievērošanu, brīdinot, ka jebkura novirze var izraisīt neatgriezenisku līdzekļu zudumu.

Apdraudējuma upuriem tiek sniegta arī kontaktinformācija, tostarp ToxID un saite TOXChat lejupielādei. Izpirkuma vēstulē tiek brīdināts, ka maksājuma prasību neievērošana novedīs pie savākto korporatīvo failu un datu bāzu pārdošanas trešajām personām vai to publiskošanas. Uzbrucēji izklāsta savu rīcību, ja upuri atsakās maksāt, iesaistot DarkNet vietnēs izsoļu organizēšanu, lai pārdotu noplūdušos failus un tiešu saziņu ar potenciālajiem pircējiem, lai piedāvātu pārdošanai apdraudētu informāciju.

Kibernoziedznieki uzsver tiešas komunikācijas nozīmi, lai izvairītos no starpniecības pakalpojumiem, kas var maldināt un aizturēt maksājumus no upuriem. Piezīme upuriem apliecina, ka tieša saziņa nodrošina veiksmīgas sarunas un uzsver apņemšanos pieklājīgi un abpusēji izdevīgi mijiedarboties.

Neskatoties uz izpirkuma naudas piespiedu raksturu, lietotāji ir ļoti atturīgi no izpirkuma maksas maksāšanas saistīto risku dēļ. Uzbrucēju solījumiem par failu atjaunošanu pēc samaksas trūkst garantiju. Turklāt tūlītēja izspiedējprogrammatūras noņemšana no apdraudētām sistēmām ir izcelta kā būtiska, lai samazinātu turpmāku bojājumu iespējamību, tostarp papildu failu šifrēšanu.

Palieliniet savu ierīču drošību pret izspiedējvīrusu un ļaunprātīgas programmatūras uzbrukumiem

Ransomware uzbrukumi joprojām ir pastāvīgs drauds digitālajā vidē, izraisot iespējamu datu zudumu un finansiālu kaitējumu lietotājiem. Ir obligāti jāpastiprina aizsardzība pret šādām nedrošām darbībām. Šeit ir pieci būtiski drošības pasākumi, ko lietotāji var ieviest savās ierīcēs, lai pastiprinātu aizsardzību pret izspiedējvīrusu uzbrukumiem.

• Regulāras dublējumkopijas : regulāri dublējiet savus svarīgos datus ārējos diskos vai drošās mākoņu platformās. Neveiksmīgajā izpirkuma programmatūras uzbrukuma epizodē atjauninātas dublējumkopijas ļauj ātri atgūties, nepakļaujoties izspiešanai.
• Programmatūras atjauninājumi : atjauniniet savu operētājsistēmu, drošības programmatūru un lietojumprogrammas. Savlaicīgi atjaunina ievainojamības, ko var izmantot izspiedējprogrammatūra, uzlabojot jūsu ierīces vispārējo drošības stāvokli.
• E-pasta modrība : esiet piesardzīgs, strādājot ar e-pastiem, īpaši tiem, kas satur negaidītus pielikumus vai saites. Pikšķerēšanas e-pasta ziņojumi ir izplatīta izspiedējvīrusu piegādes metode. Centieties nepiekļūt aizdomīgām saitēm un pirms jebkādu darbību veikšanas pārbaudiet neparedzētu e-pasta ziņojumu autentiskumu.
• Kvalitatīva drošības programmatūra : instalējiet cienījamu ļaunprātīgas programmatūras novēršanas programmatūru. Konfigurējiet šos rīkus, lai veiktu regulāru skenēšanu un konsekventi atjauninātu to datu bāzes. Uzticama drošības programmatūra var atklāt un novērst izspiedējvīrusu draudus, pirms tie apdraud jūsu sistēmu.
• Tīkla drošības pasākumi : nostipriniet tīkla drošību, izmantojot ugunsmūrus un ieviešot ielaušanās noteikšanas/novēršanas sistēmas. Neatļautas piekļuves ierobežošana tīklam palīdz novērst izspiedējvīrusu izplatīšanos jūsu sistēmā, aizsargājot kritiskos failus.

Šo drošības pasākumu ieviešana var ievērojami uzlabot jūsu ierīces noturību pret izspiedējvīrusu uzbrukumiem. Apvienojot proaktīvus pasākumus, lietotāju modrību un pareizos drošības rīkus, lietotāji var samazināt risku kļūt par izpirkuma programmatūras upuriem un aizsargāt savus vērtīgos digitālos īpašumus. Esiet informēts, esiet drošs.

Viss izpirkuma naudas teksts, kas tika nosūtīts ierīcēm, kuras inficētas ar GoodMorning Ransomware, ir:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'