GoodMorning Ransomware

Durante a análise das ameaças de malware, os pesquisadores de segurança cibernética identificaram um ransomware particularmente formidável, conhecido como GoodMorning. Ao se infiltrar em um sistema, o GoodMorning se envolve em um processo de criptografia de arquivos que afeta um amplo espectro de tipos de arquivos presentes no dispositivo alvo. Como parte de sua assinatura distintiva, o ransomware anexa a extensão '.goodmorning' aos nomes dos arquivos originais dos arquivos criptografados. Posteriormente, a ameaça deixa uma nota de resgate chamada 'how_to_back_files.html'.

Para ilustrar a metodologia de renomeação de arquivos empregada pelo GoodMorning, ele transforma nomes de arquivos como '1.png' em '1.jpg.goodmorning' e '2.pdf' em '2.png.goodmorning', demonstrando uma alteração consistente de arquivo extensões. Vale ressaltar que a análise meticulosa conduzida por especialistas em segurança cibernética estabeleceu o GoodMorning como uma variante dentro da família Globe Imposter Ransomware. Esta classificação indica uma conexão com uma categoria mais ampla de ransomware com características e comportamentos compartilhados.

O GoodMorning Ransomware Busca Extorquir Suas Vítimas Tomando os Seus Dados como Reféns

A nota de resgate emitida pelo GoodMorning Ransomware comunica uma situação terrível, afirmando que dados vitais foram criptografados e só podem ser restaurados através do uso de um descriptografador. O pedido de resgate especifica um pagamento de 1,5 BTC, equivalente a mais de 75.000 USD. No entanto, dada a natureza volátil do Bitcoin, o preço exato pode mudar drasticamente num curto período de tempo.

São fornecidas instruções sobre como adquirir Bitcoin de plataformas como Binance ou Coinbase, e espera-se que o pagamento seja direcionado para uma carteira BTC específica, cujos detalhes são fornecidos após contato com os invasores. É dada ênfase ao cumprimento estrito destas instruções, alertando que qualquer desvio pode resultar na perda irreversível de fundos.

Detalhes de contato, incluindo um ToxID e um link para download do TOXChat, também são fornecidos às vítimas da ameaça. A nota de resgate alerta que o não cumprimento das exigências de pagamento levará à venda de arquivos corporativos e bancos de dados coletados a terceiros ou à sua exposição pública. Os invasores descrevem seu curso de ação caso as vítimas recusem o pagamento, envolvendo a organização de leilões em sites DarkNet para vender arquivos vazados e contato direto com potenciais compradores para oferecer informações comprometidas para venda.

Os cibercriminosos enfatizam a importância da comunicação direta para evitar serviços intermediários que possam enganar e reter pagamentos às vítimas. A nota assegura às vítimas que a comunicação direta garante negociações bem-sucedidas e sublinha o compromisso com interações educadas e mutuamente benéficas.

Apesar da natureza coercitiva da nota de resgate, os utilizadores são altamente desencorajados de pagar o resgate devido aos riscos inerentes envolvidos. As promessas dos invasores de restauração de arquivos mediante pagamento carecem de garantias. Além disso, a remoção imediata de ransomware de sistemas comprometidos é destacada como crucial para minimizar o potencial de danos adicionais, incluindo criptografia adicional de arquivos.

Aumente a Segurança dos Seus Dispositivos contra Ataques de Ransomware e Malware

Os ataques de ransomware continuam a ser uma ameaça persistente no cenário digital, causando potencial perda de dados e danos financeiros aos utilizadores. É imperativo fortalecer a sua defesa contra essas atividades inseguras. Aqui estão cinco medidas de segurança essenciais que os usuários podem implementar em seus dispositivos para reforçar a proteção contra ataques de ransomware.

• Backups regulares : Realize backups regulares de seus dados críticos em unidades externas ou plataformas de nuvem seguras. No infeliz episódio de um ataque de ransomware, ter backups atualizados permite uma recuperação rápida sem sucumbir à extorsão.
• Atualizações de software : Mantenha seu sistema operacional, software de segurança e aplicativos atualizados. Atualizações oportunas corrigem vulnerabilidades que o ransomware pode explorar, melhorando a postura geral de segurança do seu dispositivo.
• Vigilância de e-mail : Esteja atento ao lidar com e-mails, especialmente aqueles que contêm anexos ou links inesperados. E-mails de phishing são um método comum de entrega de ransomware. Tente não acessar links suspeitos e verifique a autenticidade de e-mails inesperados antes de realizar qualquer ação.
• Software de segurança de qualidade : Instale software antimalware confiável. Configure essas ferramentas para realizar verificações regulares e atualizar seus bancos de dados de forma consistente. Um software de segurança confiável pode detectar e impedir ameaças de ransomware antes que elas comprometam seu sistema.
• Medidas de segurança de rede : Fortaleça a segurança de sua rede usando firewalls e implementando sistemas de detecção/prevenção de intrusões. Restringir o acesso não autorizado à sua rede ajuda a impedir a propagação de ransomware no seu sistema, protegendo arquivos críticos.

A implementação dessas medidas de segurança pode aumentar significativamente a resiliência do seu dispositivo contra ataques de ransomware. Ao combinar medidas proativas, vigilância do usuário e as ferramentas de segurança certas, os usuários podem minimizar o risco de serem vítimas de ransomware e proteger seus valiosos ativos digitais. Mantenha-se informado, fique seguro.

O texto completo da nota de resgate entregue aos dispositivos infectados pelo GoodMorning Ransomware é:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'