GoodMorning แรนซัมแวร์
ในระหว่างการตรวจสอบภัยคุกคามมัลแวร์ นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุแรนซัมแวร์ที่น่ากลัวอย่างยิ่งซึ่งเรียกว่า GoodMorning เมื่อแทรกซึมเข้าไปในระบบ GoodMorning จะมีส่วนร่วมในกระบวนการเข้ารหัสไฟล์ที่ส่งผลกระทบต่อประเภทไฟล์ที่หลากหลายบนอุปกรณ์เป้าหมาย แรนซัมแวร์จะเพิ่มนามสกุล '.goodmorning' ต่อท้ายชื่อไฟล์ดั้งเดิมของไฟล์ที่เข้ารหัส ซึ่งเป็นส่วนหนึ่งของลายเซ็นต์ที่โดดเด่น ต่อจากนั้น ภัยคุกคามทิ้งข้อความเรียกค่าไถ่ชื่อ 'how_to_back_files.html' ไว้
เพื่อแสดงให้เห็นวิธีการเปลี่ยนชื่อไฟล์ที่ GoodMorning ใช้งาน ระบบจะเปลี่ยนชื่อไฟล์ เช่น '1.png' เป็น '1.jpg.goodmorning' และ '2.pdf' เป็น '2.png.goodmorning' ซึ่งแสดงให้เห็นถึงการเปลี่ยนแปลงที่สอดคล้องกันของไฟล์ ส่วนขยาย เป็นที่น่าสังเกตว่าการวิเคราะห์อย่างพิถีพิถันที่ดำเนินการโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้กำหนดให้ GoodMorning เป็นตัวแปรหนึ่งในตระกูล Globe Imposter Ransomware การจัดหมวดหมู่นี้บ่งชี้ถึงการเชื่อมต่อกับหมวดหมู่ที่กว้างกว่าของแรนซัมแวร์ที่มีลักษณะและพฤติกรรมร่วมกัน
แรนซั่มแวร์ GoodMorning พยายามขู่กรรโชกเหยื่อด้วยการจับข้อมูลเป็นตัวประกัน
บันทึกค่าไถ่ที่ออกโดย GoodMorning Ransomware สื่อสารถึงสถานการณ์ที่เลวร้าย โดยยืนยันว่าข้อมูลสำคัญได้รับการเข้ารหัสและสามารถกู้คืนได้ผ่านการใช้ตัวถอดรหัสเท่านั้น การเรียกร้องค่าไถ่ระบุการชำระเงิน 1.5 BTC ซึ่งเทียบเท่ากับมากกว่า 75,000 USD อย่างไรก็ตาม เมื่อพิจารณาถึงลักษณะความผันผวนของ Bitcoin ราคาที่แน่นอนอาจเปลี่ยนแปลงอย่างมากในช่วงเวลาสั้นๆ
มีคำแนะนำเกี่ยวกับวิธีการรับ Bitcoin จากแพลตฟอร์มเช่น Binance หรือ Coinbase และการชำระเงินคาดว่าจะถูกส่งไปยังกระเป๋าเงิน BTC ที่ระบุ ซึ่งรายละเอียดจะได้รับหลังจากติดต่อกับผู้โจมตี เน้นที่การปฏิบัติตามคำแนะนำเหล่านี้อย่างเคร่งครัด โดยเตือนว่าการเบี่ยงเบนใดๆ อาจส่งผลให้สูญเสียเงินทุนอย่างถาวร
รายละเอียดการติดต่อ รวมถึง ToxID และลิงก์สำหรับดาวน์โหลด TOXChat นั้นมอบให้กับเหยื่อของภัยคุกคามด้วย หมายเหตุค่าไถ่เตือนว่าการไม่ปฏิบัติตามข้อเรียกร้องในการชำระเงินจะนำไปสู่การขายไฟล์และฐานข้อมูลองค์กรที่รวบรวมไว้ให้กับบุคคลที่สามหรือการเปิดเผยต่อสาธารณะ ผู้โจมตีจะสรุปแนวทางการดำเนินการหากเหยื่อปฏิเสธการชำระเงิน ซึ่งเกี่ยวข้องกับการจัดการประมูลบนไซต์ DarkNet เพื่อขายไฟล์ที่รั่วไหล และติดต่อโดยตรงกับผู้ซื้อที่มีศักยภาพเพื่อเสนอข้อมูลที่ถูกบุกรุกเพื่อขาย
อาชญากรไซเบอร์เน้นย้ำถึงความสำคัญของการสื่อสารโดยตรงเพื่อหลีกเลี่ยงบริการตัวกลางที่อาจทำให้เข้าใจผิดและเก็บเงินจากเหยื่อ ข้อความดังกล่าวให้ความมั่นใจกับเหยื่อว่าการสื่อสารโดยตรงช่วยให้การเจรจาประสบความสำเร็จ และเน้นย้ำถึงความมุ่งมั่นในการมีปฏิสัมพันธ์ที่สุภาพและเป็นประโยชน์ร่วมกัน
แม้ว่าบันทึกค่าไถ่จะมีลักษณะบีบบังคับ แต่ผู้ใช้ก็ท้อใจอย่างมากจากการจ่ายค่าไถ่เนื่องจากความเสี่ยงโดยธรรมชาติที่เกี่ยวข้อง คำสัญญาของผู้โจมตีในการกู้คืนไฟล์เมื่อชำระเงินไม่รับประกัน นอกจากนี้ การลบแรนซัมแวร์ออกจากระบบที่ถูกบุกรุกโดยทันทีนั้นมีความสำคัญอย่างยิ่งในการลดโอกาสที่จะเกิดความเสียหายเพิ่มเติม รวมถึงการเข้ารหัสไฟล์เพิ่มเติม
เพิ่มความปลอดภัยให้กับอุปกรณ์ของคุณจากการโจมตีของแรนซัมแวร์และมัลแวร์
การโจมตีด้วยแรนซัมแวร์ยังคงเป็นภัยคุกคามอย่างต่อเนื่องในโลกดิจิทัล ส่งผลให้ข้อมูลสูญหายและเสียหายทางการเงินต่อผู้ใช้ การเสริมสร้างการป้องกันของคุณจากกิจกรรมที่ไม่ปลอดภัยดังกล่าวเป็นสิ่งจำเป็น ต่อไปนี้เป็นมาตรการรักษาความปลอดภัยที่สำคัญ 5 ประการที่ผู้ใช้สามารถนำไปใช้บนอุปกรณ์ของตนเพื่อเสริมการป้องกันการโจมตีจากแรนซัมแวร์
- การสำรองข้อมูลปกติ : สำรองข้อมูลสำคัญของคุณบนไดรฟ์ภายนอกหรือแพลตฟอร์มคลาวด์ที่ปลอดภัยเป็นประจำ ตอนที่โชคร้ายของการโจมตีด้วยแรนซัมแวร์ การมีการสำรองข้อมูลที่ทันสมัยช่วยให้สามารถกู้คืนข้อมูลได้อย่างรวดเร็วโดยไม่ตกอยู่ภายใต้การขู่กรรโชก
- การอัปเดตซอฟต์แวร์ : อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ความปลอดภัย และแอปพลิเคชันของคุณอยู่เสมอ อัปเดตช่องโหว่ของแพตช์ที่แรนซัมแวร์อาจใช้ประโยชน์อย่างทันท่วงที ช่วยเพิ่มระดับความปลอดภัยโดยรวมของอุปกรณ์ของคุณ
- ความระมัดระวังทางอีเมล : ระมัดระวังเมื่อต้องรับมือกับอีเมล โดยเฉพาะอีเมลที่มีไฟล์แนบหรือลิงก์ที่ไม่คาดคิด อีเมลฟิชชิ่งเป็นวิธีการจัดส่งแรนซัมแวร์ทั่วไป พยายามอย่าเข้าถึงลิงก์ที่น่าสงสัยและตรวจสอบความถูกต้องของอีเมลที่ไม่คาดคิดก่อนดำเนินการใดๆ
- ซอฟต์แวร์รักษาความปลอดภัยคุณภาพ : ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียง กำหนดค่าเครื่องมือเหล่านี้เพื่อทำการสแกนเป็นประจำและอัปเดตฐานข้อมูลอย่างสม่ำเสมอ ซอฟต์แวร์ความปลอดภัยที่เชื่อถือได้สามารถตรวจจับและขัดขวางภัยคุกคามแรนซัมแวร์ก่อนที่จะโจมตีระบบของคุณ
- มาตรการรักษาความปลอดภัยเครือข่าย : เพิ่มความแข็งแกร่งให้กับความปลอดภัยเครือข่ายของคุณโดยใช้ไฟร์วอลล์และใช้ระบบตรวจจับ/ป้องกันการบุกรุก การจำกัดการเข้าถึงเครือข่ายของคุณโดยไม่ได้รับอนุญาตจะช่วยป้องกันการแพร่กระจายของแรนซัมแวร์ภายในระบบของคุณ เพื่อปกป้องไฟล์ที่สำคัญ
การใช้มาตรการรักษาความปลอดภัยเหล่านี้สามารถเพิ่มความยืดหยุ่นให้กับอุปกรณ์ของคุณจากการโจมตีแรนซัมแวร์ได้อย่างมาก ด้วยการรวมมาตรการเชิงรุก การเฝ้าระวังผู้ใช้ และเครื่องมือรักษาความปลอดภัยที่เหมาะสม ผู้ใช้สามารถลดความเสี่ยงในการตกเป็นเหยื่อของแรนซัมแวร์ และปกป้องทรัพย์สินดิจิทัลอันมีค่าของตนได้ รับข่าวสารและรักษาความปลอดภัย
ข้อความทั้งหมดในบันทึกเรียกค่าไถ่ที่ตกไปยังอุปกรณ์ที่ติดไวรัส GoodMorning Ransomware คือ:
'YOUR PERSONAL ID
ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )
Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trustBTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.
Our contact:
ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D
You can download TOXChat here : hxxps://tox.chat/download.html
The message must contain your Personal ID! it is at top of this document.
Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.
HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.If there are no buyers willing to buy, we simply publish everything that we have in public resources.
Attention!
If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'
