GoodMorning Ransomware

Током испитивања претњи од злонамерног софтвера, истраживачи сајбер безбедности су идентификовали посебно снажан рансомвер познат као ГоодМорнинг. Након инфилтрирања у систем, ГоодМорнинг се укључује у процес шифровања датотека који утиче на широк спектар типова датотека присутних на циљаном уређају. Као део свог карактеристичног потписа, рансомваре додаје екстензију „.гоодморнинг“ оригиналним именима датотека шифрованих датотека. После тога, претња иза себе оставља белешку о откупнини под називом „хов_то_бацк_филес.хтмл“.

Да би се илустровала методологија преименовања датотека коју користи ГоодМорнинг, она трансформише имена датотека као што су '1.пнг' у '1.јпг.гоодморнинг' и '2.пдф' у '2.пнг.гоодморнинг', демонстрирајући доследну измену датотеке проширења. Важно је напоменути да је педантна анализа коју су спровели стручњаци за сајбер безбедност установила ГоодМорнинг као варијанту унутар породице Глобе Импостер Рансомваре . Ова класификација указује на везу са широм категоријом рансомваре-а са заједничким карактеристикама и понашањем.

ГоодМорнинг Рансомваре настоји да изнуди своје жртве узимајући њихове податке као таоце

Порука о откупнини коју је издао ГоодМорнинг Рансомваре саопштава страшну ситуацију, тврдећи да су витални подаци подвргнути шифровању и да се могу вратити само коришћењем дешифратора. Захтев за откуп наводи плаћање од 1,5 БТЦ, што је еквивалентно преко 75.000 УСД. Међутим, с обзиром на променљиву природу Битцоина, тачна цена би се могла драстично променити у кратком временском периоду.

Дате су инструкције о томе како да набавите Битцоин са платформи као што су Бинанце или Цоинбасе, а очекује се да ће плаћање бити усмерено на одређени БТЦ новчаник, чији детаљи се достављају након контактирања нападача. Нагласак је стављен на стриктно поштовање ових упутстава, уз упозорење да свако одступање може довести до неповратног губитка средстава.

Контакт детаљи, укључујући ТокИД и линк за преузимање ТОКСЦхат-а, такође се пружају жртвама претње. Обавештење о откупнини упозорава да ће неиспуњавање захтева за плаћање довести до продаје прикупљених корпоративних фајлова и база података трећим лицима или до њиховог излагања јавности. Нападачи наводе свој ток акције ако жртве одбију плаћање, укључујући организовање аукција на ДаркНет сајтовима за продају процурелих фајлова и директан контакт са потенцијалним купцима како би се компромитоване информације понудиле на продају.

Сајбер криминалци наглашавају важност директне комуникације како би се избегле посредничке услуге које могу да доведу у заблуду и задрже уплате од жртава. Ова порука увјерава жртве да директна комуникација осигурава успјешне преговоре и наглашава посвећеност љубазним и обострано корисним интеракцијама.

Упркос принудној природи поруке о откупнини, корисници су веома обесхрабрени да плате откупнину због инхерентних ризика. Обећања нападача о враћању фајлова након плаћања немају гаранције. Штавише, брзо уклањање рансомваре-а из компромитованих система је истакнуто као кључно за минимизирање потенцијала даље штете, укључујући додатно шифровање датотека.

Повећајте безбедност својих уређаја од рансомвера и напада малвера

Напади рансомвера и даље представљају сталну претњу у дигиталном окружењу, узрокујући потенцијални губитак података и финансијску штету корисницима. Јачање ваше одбране од таквих небезбедних активности је императив. Ево пет основних безбедносних мера које корисници могу применити на својим уређајима како би појачали заштиту од напада рансомвера.

• Редовне резервне копије : Редовно правите резервне копије ваших критичних података на спољним дисковима или безбедним платформама у облаку. У несрећној епизоди напада рансомвера, поседовање ажурираних резервних копија омогућава брз опоравак без подлегања изнуди.
• Ажурирања софтвера : Одржавајте ажурирани оперативни систем, безбедносни софтвер и апликације. Правовремена ажурирања поправљају рањивости које рансомваре може да искористи, побољшавајући укупни безбедносни положај вашег уређаја.
• Будност е-поште : Будите опрезни када радите са е-порукама, посебно онима које садрже неочекиване прилоге или везе. Пецање е-порука је уобичајен начин испоруке рансомваре-а. Покушајте да не приступате сумњивим везама и проверите аутентичност неочекиваних е-порука пре него што предузмете било какве радње.
• Квалитетан сигурносни софтвер : Инсталирајте реномирани софтвер за заштиту од малвера. Конфигуришите ове алате за редовно скенирање и доследно ажурирање њихових база података. Поуздан безбедносни софтвер може да открије и спречи претње рансомваре-а пре него што угрозе ваш систем.
• Мере мрежне безбедности : Ојачајте безбедност ваше мреже коришћењем заштитних зидова и применом система за откривање/превенцију упада. Ограничавање неовлашћеног приступа вашој мрежи помаже у спречавању ширења рансомваре-а унутар вашег система, штитећи критичне датотеке.

Примена ових безбедносних мера може значајно да побољша отпорност вашег уређаја на нападе рансомвера. Комбиновањем проактивних мера, будности корисника и правих безбедносних алата, корисници могу да смање ризик да постану жртве рансомваре-а и заштите своју вредну дигиталну имовину. Будите информисани, останите сигурни.

Цео текст поруке о откупнини достављеној на уређаје заражене ГоодМорнинг Рансомваре-ом је:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'