GoodMorning Ransomware

В ходе изучения вредоносных угроз исследователи кибербезопасности выявили особенно опасную программу-вымогатель, известную как GoodMorning. При проникновении в систему GoodMorning запускает процесс шифрования файлов, который влияет на широкий спектр типов файлов, присутствующих на целевом устройстве. В рамках своей отличительной подписи программа-вымогатель добавляет расширение «.goodmorning» к исходным именам зашифрованных файлов. Впоследствии угроза оставляет записку с требованием выкупа под названием «how_to_back_files.html».

Чтобы проиллюстрировать методологию переименования файлов, используемую GoodMorning, она преобразует такие имена файлов, как «1.png» в «1.jpg.goodmorning» и «2.pdf» в «2.png.goodmorning», демонстрируя последовательное изменение файла. расширения. Примечательно, что тщательный анализ, проведенный экспертами по кибербезопасности, определил GoodMorning как вариант семейства Globe Imposter Ransomware . Эта классификация указывает на связь с более широкой категорией программ-вымогателей с общими характеристиками и поведением.

Программа-вымогатель GoodMorning пытается вымогать деньги у своих жертв, взяв их данные в заложники

В записке с требованием выкупа, выпущенной GoodMorning Ransomware, сообщается о ужасной ситуации, утверждая, что жизненно важные данные были зашифрованы и могут быть восстановлены только с помощью дешифратора. Требование выкупа предусматривает выплату в размере 1,5 BTC, что эквивалентно более чем 75 000 долларов США. Однако, учитывая нестабильный характер Биткойна, точная цена может резко измениться за короткий период времени.

Предоставляются инструкции о том, как приобрести биткойны на таких платформах, как Binance или Coinbase, и ожидается, что платеж будет направлен на указанный кошелек BTC, подробности которого будут предоставлены после контакта с злоумышленниками. Особое внимание уделяется строгому соблюдению данных инструкций, предупреждая, что любое отклонение может привести к необратимой потере средств.

Жертвам угрозы также предоставляются контактные данные, включая ToxID и ссылку для загрузки TOXChat. В записке о выкупе предупреждается, что невыполнение требований об оплате приведет к продаже собранных корпоративных файлов и баз данных третьим лицам или их публичному разглашению. Злоумышленники обрисовывают план своих действий, если жертвы откажутся от оплаты, включая организацию аукционов на сайтах DarkNet для продажи утекших файлов и прямой контакт с потенциальными покупателями, чтобы предложить на продажу скомпрометированную информацию.

Киберпреступники подчеркивают важность прямого общения, чтобы избежать посреднических услуг, которые могут ввести в заблуждение, и удержать платежи от жертв. В записке жертв уверяют, что прямое общение обеспечивает успешные переговоры и подчеркивает приверженность вежливому и взаимовыгодному взаимодействию.

Несмотря на принудительный характер требования о выкупе, пользователям настоятельно не рекомендуется платить выкуп из-за связанных с этим рисков. Обещания злоумышленников восстановить файлы после оплаты не имеют гарантий. Кроме того, быстрое удаление программ-вымогателей из скомпрометированных систем считается крайне важным для минимизации вероятности дальнейшего ущерба, включая дополнительное шифрование файлов.

Повысьте безопасность своих устройств от программ-вымогателей и атак вредоносных программ

Атаки программ-вымогателей продолжают оставаться постоянной угрозой в цифровой среде, приводя к потенциальной потере данных и финансовому ущербу для пользователей. Укрепление вашей защиты от таких небезопасных действий крайне важно. Вот пять основных мер безопасности, которые пользователи могут реализовать на своих устройствах, чтобы усилить защиту от атак программ-вымогателей.

• Регулярное резервное копирование . Выполняйте регулярное резервное копирование важных данных на внешних дисках или безопасных облачных платформах. В случае неудачной атаки программы-вымогателя наличие актуальных резервных копий позволяет быстро восстановить данные, не подвергаясь вымогательству.
• Обновления программного обеспечения : обновляйте свою операционную систему, программное обеспечение безопасности и приложения. Своевременные обновления устраняют уязвимости, которыми могут воспользоваться программы-вымогатели, повышая общий уровень безопасности вашего устройства.
• Бдительность электронной почты . Будьте осторожны при работе с электронными письмами, особенно с теми, которые содержат неожиданные вложения или ссылки. Фишинговые электронные письма — распространенный метод доставки программ-вымогателей. Постарайтесь не заходить по подозрительным ссылкам и проверяйте подлинность неожиданных писем, прежде чем предпринимать какие-либо действия.
• Качественное программное обеспечение безопасности : установите надежное антивирусное программное обеспечение. Настройте эти инструменты для проведения регулярных проверок и постоянного обновления баз данных. Надежное программное обеспечение безопасности может обнаружить и предотвратить угрозы программ-вымогателей до того, как они скомпрометируют вашу систему.
• Меры сетевой безопасности . Укрепите безопасность своей сети, используя межсетевые экраны и внедряя системы обнаружения/предотвращения вторжений. Ограничение несанкционированного доступа к вашей сети помогает предотвратить распространение программ-вымогателей внутри вашей системы, защищая критически важные файлы.

Реализация этих мер безопасности может значительно повысить устойчивость вашего устройства к атакам программ-вымогателей. Сочетая превентивные меры, бдительность пользователей и правильные инструменты безопасности, пользователи могут минимизировать риск стать жертвой программ-вымогателей и защитить свои ценные цифровые активы. Будьте в курсе, оставайтесь в безопасности.

Полный текст записки о выкупе, отправленной на устройства, зараженные GoodMorning Ransomware:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'