GoodMorning Ransomware

Kötü amaçlı yazılım tehditlerinin incelenmesi sırasında siber güvenlik araştırmacıları, Günaydın olarak bilinen özellikle zorlu bir fidye yazılımını tespit etti. GoodMorning, bir sisteme sızdıktan sonra, hedeflenen cihazda bulunan geniş yelpazedeki dosya türlerini etkileyen bir dosya şifreleme işlemine girişir. Fidye yazılımı, kendine özgü imzasının bir parçası olarak, şifrelenmiş dosyaların orijinal dosya adlarına '.goodmorning' uzantısını ekler. Daha sonra tehdit, arkasında 'how_to_back_files.html' adlı bir fidye notu bırakır.

GoodMorning tarafından kullanılan dosya yeniden adlandırma metodolojisini göstermek için, '1.png' gibi dosya adlarını '1.jpg.goodmorning'e ve '2.pdf'yi '2.png.goodmorning'e dönüştürerek dosyanın tutarlı bir şekilde değiştirildiğini gösterir. Uzantılar. Siber güvenlik uzmanları tarafından yürütülen titiz analizlerin GoodMorning'i Globe Imposter Ransomware ailesi içinde bir varyant olarak belirlemesi dikkat çekicidir. Bu sınıflandırma, ortak özelliklere ve davranışlara sahip daha geniş bir fidye yazılımı kategorisiyle bağlantıyı gösterir.

GoodMorning Fidye Yazılımı Kurbanlarının Verilerini Rehin Alarak Şantaj Yapmayı Amaçlıyor

GoodMorning Ransomware tarafından yayınlanan fidye notu, hayati verilerin şifrelendiğini ve yalnızca bir şifre çözücü kullanılarak geri yüklenebileceğini ileri sürerek korkunç bir durumu bildiriyor. Fidye talebi, 75.000 USD'nin üzerinde bir değere eşdeğer olan 1,5 BTC tutarında bir ödemeyi belirtiyor. Ancak Bitcoin'in değişken doğası göz önüne alındığında, kesin fiyat kısa sürede büyük ölçüde değişebilir.

Bitcoin'in Binance veya Coinbase gibi platformlardan nasıl edinileceğine ilişkin talimatlar veriliyor ve ödemenin, saldırganlarla iletişime geçildikten sonra ayrıntıları verilen belirli bir BTC cüzdanına yönlendirilmesi bekleniyor. Bu talimatlara sıkı sıkıya bağlı kalmanın önemi vurgulanmakta ve herhangi bir sapmanın geri dönüşü olmayan fon kaybına yol açabileceği konusunda uyarıda bulunulmaktadır.

Tehdidin kurbanlarına ToxID ve TOXChat indirme bağlantısı da dahil olmak üzere iletişim bilgileri de veriliyor. Fidye notu, ödeme taleplerine uymamanın, toplanan kurumsal dosyaların ve veritabanlarının üçüncü şahıslara satılmasına veya bunların kamuya açık hale gelmesine yol açacağı konusunda uyarıyor. Saldırganlar, kurbanların ödemeyi reddetmesi durumunda, sızdırılan dosyaları satmak için DarkNet sitelerinde açık artırmalar düzenlemeyi ve tehlikeye atılmış bilgileri satışa sunmak için potansiyel alıcılarla doğrudan iletişime geçmeyi de içeren eylem planlarını özetlemektedir.

Siber suçlular, mağdurları yanıltabilecek ve ödemeleri alıkoyabilecek aracı hizmetlerden kaçınmak için doğrudan iletişimin önemini vurguluyor. Not, mağdurlara doğrudan iletişimin başarılı müzakereler sağlayacağına dair güvence veriyor ve kibar ve karşılıklı yarar sağlayan etkileşimlere olan bağlılığın altını çiziyor.

Fidye notunun zorlayıcı yapısına rağmen, içerdiği riskler nedeniyle kullanıcıların fidyeyi ödeme konusunda cesaretleri kırılıyor. Saldırganların ödeme sonrasında dosya restorasyonu vaatlerinin garantisi yoktur. Ayrıca, fidye yazılımının güvenliği ihlal edilmiş sistemlerden derhal kaldırılmasının, ek dosya şifreleme de dahil olmak üzere daha fazla hasar olasılığını en aza indirmek için çok önemli olduğu vurgulanıyor.

Fidye Yazılımı ve Kötü Amaçlı Yazılım Saldırılarına Karşı Cihazlarınızın Güvenliğini Artırın

Fidye yazılımı saldırıları dijital ortamda kalıcı bir tehdit olmaya devam ediyor ve potansiyel veri kaybına ve kullanıcılara mali zarara neden oluyor. Bu tür güvenli olmayan faaliyetlere karşı savunmanızı güçlendirmek zorunludur. Fidye yazılımı saldırılarına karşı korumayı artırmak için kullanıcıların cihazlarına uygulayabilecekleri beş temel güvenlik önlemini burada bulabilirsiniz.

• Düzenli Yedeklemeler : Kritik verilerinizin harici sürücülere veya güvenli bulut platformlarına düzenli olarak yedeklenmesini sağlayın. Bir fidye yazılımı saldırısının talihsiz bölümünde, güncel yedeklemelere sahip olmak, gasplara boyun eğmeden hızlı bir kurtarma sağlar.
• Yazılım Güncellemeleri : İşletim sisteminizi, güvenlik yazılımınızı ve uygulamalarınızı güncel tutun. Fidye yazılımının yararlanabileceği yama güvenlik açıklarını zamanında güncelleyerek cihazınızın genel güvenlik duruşunu geliştirir.
• E-posta Dikkati : E-postalarla, özellikle de beklenmedik ekler veya bağlantılar içeren e-postalarla ilgilenirken dikkatli olun. Kimlik avı e-postaları yaygın bir fidye yazılımı dağıtım yöntemidir. Şüpheli bağlantılara erişmemeye çalışın ve herhangi bir işlem yapmadan önce beklenmedik e-postaların doğruluğunu kontrol edin.
• Kaliteli Güvenlik Yazılımı : Saygın kötü amaçlı yazılımdan koruma yazılımını yükleyin. Bu araçları düzenli taramalar yapacak ve veritabanlarını tutarlı bir şekilde güncelleyecek şekilde yapılandırın. Güvenilir güvenlik yazılımı, fidye yazılımı tehditlerini sisteminizi tehlikeye atmadan önce tespit edip engelleyebilir.
• Ağ Güvenliği Önlemleri : Güvenlik duvarları kullanarak ve izinsiz giriş tespit/önleme sistemlerini uygulayarak ağ güvenliğinizi güçlendirin. Ağınıza yetkisiz erişimi kısıtlamak, fidye yazılımının sisteminizde yayılmasını önleyerek kritik dosyaların korunmasına yardımcı olur.

Bu güvenlik önlemlerini uygulamak, cihazınızın fidye yazılımı saldırılarına karşı dayanıklılığını önemli ölçüde artırabilir. Kullanıcılar proaktif önlemleri, kullanıcı dikkatliliğini ve doğru güvenlik araçlarını birleştirerek fidye yazılımlarının kurbanı olma riskini en aza indirebilir ve değerli dijital varlıklarını koruyabilir. Haberdar olun, güvende kalın.

GoodMorning Ransomware'in bulaştığı cihazlara gönderilen fidye notunun tam metni şöyle:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'