Oprogramowanie ransomware GoodMorning

Podczas badania zagrożeń złośliwym oprogramowaniem badacze cyberbezpieczeństwa zidentyfikowali szczególnie groźne oprogramowanie ransomware znane jako GoodMorning. Po infiltracji systemu GoodMorning rozpoczyna proces szyfrowania plików, który wpływa na szerokie spektrum typów plików znajdujących się na docelowym urządzeniu. W ramach swojego charakterystycznego podpisu ransomware dołącza rozszerzenie „.goodmorning” do oryginalnych nazw zaszyfrowanych plików. Następnie zagrożenie pozostawia żądanie okupu o nazwie „how_to_back_files.html”.

Aby zilustrować metodologię zmiany nazw plików zastosowaną przez GoodMorning, przekształca ona nazwy plików, takie jak „1.png” na „1.jpg.goodmorning” i „2.pdf” na „2.png.goodmorning”, demonstrując spójną zmianę pliku rozszerzenia. Warto zauważyć, że skrupulatna analiza przeprowadzona przez ekspertów ds. cyberbezpieczeństwa ustaliła, że GoodMorning jest wariantem w rodzinie Globe Imposter Ransomware . Ta klasyfikacja wskazuje na powiązanie z szerszą kategorią oprogramowania ransomware o wspólnych cechach i zachowaniach.

Ransomware GoodMorning próbuje wyłudzić swoje ofiary, biorąc ich dane jako zakładników

Notatka z żądaniem okupu wydana przez GoodMorning Ransomware informuje o tragicznej sytuacji, twierdząc, że ważne dane zostały zaszyfrowane i można je odzyskać jedynie za pomocą narzędzia deszyfrującego. Żądanie okupu określa płatność w wysokości 1,5 BTC, co stanowi równowartość ponad 75 000 USD. Biorąc jednak pod uwagę niestabilny charakter Bitcoina, dokładna cena może drastycznie zmienić się w krótkim czasie.

Znajdują się tam instrukcje dotyczące nabycia Bitcoina z platform takich jak Binance czy Coinbase oraz oczekuje się, że płatność zostanie skierowana do określonego portfela BTC, którego szczegóły zostaną przekazane po skontaktowaniu się z atakującymi. Kładziemy nacisk na ścisłe przestrzeganie tych instrukcji, ostrzegając, że wszelkie odstępstwa mogą skutkować nieodwracalną utratą środków.

Ofiarom zagrożenia udostępniane są również dane kontaktowe, w tym identyfikator ToxID i link do pobrania TOXChat. Żądanie okupu ostrzega, że niezastosowanie się do żądań płatności doprowadzi do sprzedaży zebranych plików firmowych i baz danych osobom trzecim lub ich publicznego ujawnienia. Napastnicy przedstawiają sposób działania, jeśli ofiary odmówią zapłaty, obejmujący organizowanie aukcji w witrynach DarkNet w celu sprzedaży plików, które wyciekły, oraz bezpośredni kontakt z potencjalnymi nabywcami w celu zaoferowania na sprzedaż skompromitowanych informacji.

Cyberprzestępcy podkreślają znaczenie bezpośredniej komunikacji, aby uniknąć usług pośredników, które mogą wprowadzić w błąd i zatrzymać płatności od ofiar. Notatka zapewnia ofiary, że bezpośrednia komunikacja zapewnia pomyślne negocjacje i podkreśla zaangażowanie w uprzejme i wzajemnie korzystne interakcje.

Pomimo przymusowego charakteru żądania okupu, zdecydowanie odradza się użytkownikom płacenie okupu ze względu na związane z tym ryzyko. Obietnice osób atakujących dotyczące przywrócenia plików po dokonaniu płatności nie dają żadnych gwarancji. Ponadto podkreśla się, że szybkie usunięcie oprogramowania ransomware z zaatakowanych systemów ma kluczowe znaczenie dla zminimalizowania potencjalnych dalszych szkód, w tym dodatkowego szyfrowania plików.

Zwiększ bezpieczeństwo swoich urządzeń przed atakami ransomware i złośliwego oprogramowania

Ataki typu ransomware w dalszym ciągu stanowią trwałe zagrożenie w środowisku cyfrowym, powodując potencjalną utratę danych i szkody finansowe dla użytkowników. Konieczne jest wzmocnienie obrony przed takimi niebezpiecznymi działaniami. Oto pięć podstawowych środków bezpieczeństwa, które użytkownicy mogą wdrożyć na swoich urządzeniach, aby wzmocnić ochronę przed atakami oprogramowania ransomware.

• Regularne kopie zapasowe : twórz regularne kopie zapasowe najważniejszych danych na dyskach zewnętrznych lub bezpiecznych platformach chmurowych. W przypadku niefortunnego ataku ransomware posiadanie aktualnych kopii zapasowych umożliwia szybkie odzyskanie danych bez narażania się na wymuszenie.
• Aktualizacje oprogramowania : Aktualizuj swój system operacyjny, oprogramowanie zabezpieczające i aplikacje. Terminowe aktualizacje łatają luki w zabezpieczeniach, które może wykorzystać oprogramowanie ransomware, poprawiając ogólny stan bezpieczeństwa Twojego urządzenia.
• Czujność poczty e-mail : zachowaj ostrożność podczas obsługi wiadomości e-mail, zwłaszcza tych zawierających nieoczekiwane załączniki lub łącza. E-maile phishingowe są powszechną metodą dostarczania oprogramowania ransomware. Staraj się nie otwierać podejrzanych linków i przed podjęciem jakichkolwiek działań sprawdź autentyczność nieoczekiwanych e-maili.
• Wysokiej jakości oprogramowanie zabezpieczające : zainstaluj renomowane oprogramowanie chroniące przed złośliwym oprogramowaniem. Skonfiguruj te narzędzia, aby przeprowadzały regularne skanowanie i spójną aktualizację baz danych. Niezawodne oprogramowanie zabezpieczające może wykryć i udaremnić zagrożenia oprogramowaniem ransomware, zanim zagrożą one Twojemu systemowi.
• Środki bezpieczeństwa sieci : Wzmocnij bezpieczeństwo sieci, używając zapór sieciowych i wdrażając systemy wykrywania/zapobiegania włamaniom. Ograniczanie nieautoryzowanego dostępu do sieci pomaga zapobiegać rozprzestrzenianiu się oprogramowania ransomware w systemie, chroniąc najważniejsze pliki.

Wdrożenie tych środków bezpieczeństwa może znacznie zwiększyć odporność Twojego urządzenia na ataki oprogramowania ransomware. Łącząc proaktywne środki, czujność użytkowników i odpowiednie narzędzia bezpieczeństwa, użytkownicy mogą zminimalizować ryzyko padnięcia ofiarą oprogramowania ransomware i chronić swoje cenne zasoby cyfrowe. Bądź na bieżąco, bądź bezpieczny.

Cały tekst żądania okupu upuszczanego na urządzenia zainfekowane oprogramowaniem GoodMorning Ransomware to:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'