Ransomware GoodMorning

Počas skúmania malvérových hrozieb výskumníci v oblasti kybernetickej bezpečnosti identifikovali obzvlášť impozantný ransomvér známy ako GoodMorning. Po infiltrácii do systému sa GoodMorning zapojí do procesu šifrovania súborov, ktorý ovplyvňuje široké spektrum typov súborov prítomných na cieľovom zariadení. Ransomvér ako súčasť svojho charakteristického podpisu pridáva k pôvodným názvom súborov zašifrovaných súborov príponu „.goodmorning“. Následne za sebou hrozba zanechá výkupné s názvom „how_to_back_files.html“.

Na ilustráciu metodiky premenovania súborov, ktorú používa GoodMorning, transformuje názvy súborov ako „1.png“ na „1.jpg.goodmorning“ a „2.pdf“ na „2.png.goodmorning“, čím demonštruje konzistentnú zmenu súboru rozšírenia. Je pozoruhodné, že starostlivá analýza vykonaná odborníkmi na kybernetickú bezpečnosť stanovila GoodMorning ako variant v rámci rodiny Globe Imposter Ransomware . Táto klasifikácia naznačuje spojenie so širšou kategóriou ransomvéru so spoločnými vlastnosťami a správaním.

Ransomware GoodMorning sa snaží vydierať svoje obete tým, že si ich dáta berie ako rukojemníkov

Výkupný list vydaný GoodMorning Ransomware oznamuje hroznú situáciu a tvrdí, že životne dôležité údaje prešli šifrovaním a možno ich obnoviť iba pomocou dešifrovača. Požiadavka na výkupné špecifikuje platbu 1,5 BTC, čo zodpovedá viac ako 75 000 USD. Vzhľadom na volatilnú povahu bitcoínov sa však presná cena môže v krátkom čase drasticky zmeniť.

Poskytujú sa pokyny, ako získať bitcoiny z platforiem ako Binance alebo Coinbase a očakáva sa, že platba bude smerovaná do špecifikovanej peňaženky BTC, ktorej podrobnosti budú poskytnuté po kontaktovaní útočníkov. Dôraz je kladený na prísne dodržiavanie týchto pokynov s upozornením, že akákoľvek odchýlka môže viesť k nezvratnej strate finančných prostriedkov.

Obetiam hrozby sú poskytnuté aj kontaktné údaje vrátane ToxID a odkazu na stiahnutie TOXChat. Výkupné varuje, že nesplnenie platobných požiadaviek povedie k predaju zozbieraných firemných súborov a databáz tretím stranám alebo ich zverejneniu. Útočníci načrtávajú svoj postup, ak obete odmietnu platbu, vrátane organizovania aukcií na stránkach DarkNet na predaj uniknutých súborov a priameho kontaktu s potenciálnymi kupcami s cieľom ponúknuť kompromitované informácie na predaj.

Kyberzločinci zdôrazňujú dôležitosť priamej komunikácie, aby sa vyhli sprostredkovateľským službám, ktoré môžu zavádzať a zadržať platby od obetí. Poznámka uisťuje obete, že priama komunikácia zabezpečuje úspešné rokovania a podčiarkuje záväzok k zdvorilým a vzájomne výhodným interakciám.

Napriek donucovacej povahe výkupného sú používatelia veľmi odrádzaní od zaplatenia výkupného kvôli inherentným rizikám. Sľubom útočníkov o obnovení súboru po zaplatení chýbajú záruky. Okrem toho sa rýchle odstránenie ransomvéru z kompromitovaných systémov zdôrazňuje ako kľúčové pre minimalizáciu potenciálu ďalšieho poškodenia, vrátane dodatočného šifrovania súborov.

Zvýšte bezpečnosť svojich zariadení pred útokmi ransomvéru a malvéru

Ransomvérové útoky sú aj naďalej trvalou hrozbou v digitálnom prostredí, čo spôsobuje potenciálnu stratu údajov a finančnú ujmu používateľom. Posilnenie vašej obrany proti takýmto nebezpečným aktivitám je nevyhnutné. Tu je päť základných bezpečnostných opatrení, ktoré môžu používatelia implementovať na svojich zariadeniach na posilnenie ochrany pred útokmi ransomware.

• Pravidelné zálohovanie : Vykonávajte pravidelné zálohovanie dôležitých údajov na externých diskoch alebo zabezpečených cloudových platformách. V nešťastnej epizóde ransomvérového útoku umožňuje mať aktuálne zálohy rýchlu obnovu bez toho, aby ste podľahli vydieraniu.
• Aktualizácie softvéru : Aktualizujte svoj operačný systém, bezpečnostný softvér a aplikácie. Včasné aktualizácie opravujú zraniteľné miesta, ktoré môže ransomvér zneužiť, čím zlepšujú celkovú bezpečnosť vášho zariadenia.
• E-mailová ostražitosť : Buďte opatrní pri práci s e-mailami, najmä tými, ktoré obsahujú neočakávané prílohy alebo odkazy. Phishingové e-maily sú bežnou metódou doručenia ransomvéru. Snažte sa nepristupovať k podozrivým odkazom a overte si pravosť neočakávaných e-mailov skôr, než podniknete nejaké kroky.
• Kvalitný bezpečnostný softvér : Nainštalujte uznávaný antimalvérový softvér. Nakonfigurujte tieto nástroje tak, aby vykonávali pravidelné kontroly a neustále aktualizovali svoje databázy. Spoľahlivý bezpečnostný softvér dokáže odhaliť a zmariť hrozby ransomvéru skôr, ako ohrozia váš systém.
• Opatrenia zabezpečenia siete : Posilnite bezpečnosť svojej siete pomocou brán firewall a implementáciou systémov detekcie/prevencie narušenia. Obmedzenie neoprávneného prístupu k vašej sieti pomáha predchádzať šíreniu ransomvéru vo vašom systéme a chráni dôležité súbory.

Implementácia týchto bezpečnostných opatrení môže výrazne zvýšiť odolnosť vášho zariadenia proti útokom ransomvéru. Kombináciou proaktívnych opatrení, ostražitosti používateľov a správnych bezpečnostných nástrojov môžu používatelia minimalizovať riziko, že sa stanú obeťou ransomvéru, a ochrániť svoje cenné digitálne aktíva. Zostaňte informovaní, zostaňte v bezpečí.

Celý text oznámenia o výkupnom, ktorý sa dostal na zariadenia infikované GoodMorning Ransomware, je:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'