GoodMorning Ransomware

Under undersøkelsen av trusler mot skadelig programvare har cybersikkerhetsforskere identifisert en spesielt formidabel løsepengevare kjent som GoodMorning. Ved å infiltrere et system, engasjerer GoodMorning en prosess med filkryptering som påvirker et bredt spekter av filtyper som er tilstede på den målrettede enheten. Som en del av sin karakteristiske signatur, legger løsepengevaren til utvidelsen '.goodmorning' til de originale filnavnene til de krypterte filene. Deretter etterlater trusselen en løsepengenotat kalt 'how_to_back_files.html.'

For å illustrere filnavnemetoden brukt av GoodMorning, transformerer den filnavn som '1.png' til '1.jpg.goodmorning' og '2.pdf' til '2.png.goodmorning', noe som viser en konsekvent endring av filen utvidelser. Det er bemerkelsesverdig at den grundige analysen utført av cybersikkerhetseksperter har etablert GoodMorning som en variant innenfor Globe Imposter Ransomware- familien. Denne klassifiseringen indikerer en forbindelse til en bredere kategori løsepengevare med delte egenskaper og atferd.

GoodMorning Ransomware prøver å presse ofrene sine ved å ta dataene deres som gisler

Løseseddelen utstedt av GoodMorning Ransomware kommuniserer en alvorlig situasjon, og hevder at viktige data har gjennomgått kryptering og bare kan gjenopprettes ved bruk av en dekryptering. Løsepengekravet spesifiserer en betaling på 1,5 BTC, tilsvarende over 75 000 USD. Men med tanke på den flyktige naturen til Bitcoin, kan den nøyaktige prisen endre seg drastisk i løpet av kort tid.

Instruksjoner er gitt om hvordan du anskaffer Bitcoin fra plattformer som Binance eller Coinbase, og betalingen forventes å bli rettet til en spesifisert BTC-lommebok, hvis detaljer er gitt etter kontakt med angriperne. Det legges vekt på streng overholdelse av disse instruksjonene, og advarer om at ethvert avvik kan føre til irreversibelt tap av midler.

Kontaktdetaljer, inkludert en ToxID og en lenke for TOXChat-nedlasting, er også gitt til ofre for trusselen. Løsepengene advarer om at manglende overholdelse av betalingskravene vil føre til salg av innsamlede bedriftsfiler og databaser til tredjeparter eller deres offentlig eksponering. Angriperne skisserer handlingen deres hvis ofrene nekter betaling, og involverer organisering av auksjoner på DarkNet-nettsteder for å selge lekkede filer og direkte kontakt med potensielle kjøpere for å tilby kompromittert informasjon for salg.

De nettkriminelle understreker viktigheten av direkte kommunikasjon for å unngå mellomleddstjenester som kan villede og holde tilbake betalinger fra ofrene. Notatet forsikrer ofrene om at direkte kommunikasjon sikrer vellykkede forhandlinger og understreker en forpliktelse til høflige og gjensidig fordelaktige interaksjoner.

Til tross for løsepengenes tvangsmessige natur, er brukere sterkt frarådet fra å betale løsepenger på grunn av den iboende risikoen som er involvert. Angripernes løfter om filgjenoppretting ved betaling mangler garantier. Videre fremheves umiddelbar fjerning av løsepengevare fra kompromitterte systemer som avgjørende for å minimere potensialet for ytterligere skade, inkludert ekstra filkryptering.

Øk sikkerheten til enhetene dine mot ransomware og skadelig programvareangrep

Ransomware-angrep fortsetter å være en vedvarende trussel i det digitale landskapet, og forårsaker potensielt tap av data og økonomisk skade for brukere. Å styrke forsvaret mot slike utrygge aktiviteter er avgjørende. Her er fem viktige sikkerhetstiltak som brukere kan implementere på enhetene sine for å styrke beskyttelsen mot ransomware-angrep.

• Vanlige sikkerhetskopier : Ta regelmessige sikkerhetskopier av dine kritiske data på eksterne stasjoner eller sikre skyplattformer. I den uheldige episoden av et løsepenge-angrep muliggjør det å ha oppdaterte sikkerhetskopier rask gjenoppretting uten å gi etter for utpressing.
• Programvareoppdateringer : Hold operativsystemet, sikkerhetsprogramvaren og applikasjonene oppdatert. Rettidig oppdatering oppdatering av sårbarheter som løsepengevare kan utnytte, og forbedrer enhetens generelle sikkerhetsstilling.
• E-post årvåkenhet : Vær på vakt når du håndterer e-poster, spesielt de som inneholder uventede vedlegg eller lenker. Phishing-e-poster er en vanlig leveringsmetode for løsepengevare. Prøv å ikke få tilgang til mistenkelige lenker og verifiser ektheten til uventede e-poster før du gjør noe.
• Kvalitetssikkerhetsprogramvare : Installer anerkjent programvare mot skadelig programvare. Konfigurer disse verktøyene til å utføre regelmessige skanninger og oppdatere databasene deres konsekvent. Pålitelig sikkerhetsprogramvare kan oppdage og hindre løsepengevaretrusler før de kompromitterer systemet ditt.
• Nettverkssikkerhetstiltak : Styrk nettverkssikkerheten ved å bruke brannmurer og implementere inntrengningsdeteksjons-/forebyggende systemer. Å begrense uautorisert tilgang til nettverket ditt bidrar til å forhindre spredning av løsepengevare i systemet ditt, og beskytter kritiske filer.

Implementering av disse sikkerhetstiltakene kan forbedre enhetens motstandskraft mot løsepenge-angrep betydelig. Ved å kombinere proaktive tiltak, brukervåkenhet og de riktige sikkerhetsverktøyene, kan brukere minimere risikoen for å bli ofre for løsepengevare og beskytte sine verdifulle digitale eiendeler. Hold deg informert, hold deg trygg.

Hele teksten i løsepengene som ble sendt til enheter infisert av GoodMorning Ransomware er:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'