Програма-вимагач GoodMorning

Під час вивчення загроз зловмисного програмного забезпечення дослідники кібербезпеки виявили особливо грізну програму-вимагач, відому як GoodMorning. Після проникнення в систему GoodMorning бере участь у процесі шифрування файлів, що впливає на широкий спектр типів файлів, присутніх на цільовому пристрої. Як частину свого характерного підпису програма-вимагач додає розширення «.goodmorning» до оригінальних імен зашифрованих файлів. Згодом загроза залишає за собою запис про викуп під назвою «how_to_back_files.html».

Щоб проілюструвати методологію перейменування файлів, яку використовує GoodMorning, він перетворює назви файлів, наприклад «1.png» на «1.jpg.goodmorning» і «2.pdf» на «2.png.goodmorning», демонструючи послідовну зміну файлу розширення. Варто зазначити, що ретельний аналіз, проведений експертами з кібербезпеки, визначив GoodMorning як варіант сімейства програм-вимагачів Globe Imposter . Ця класифікація вказує на зв’язок із більш широкою категорією програм-вимагачів зі спільними характеристиками та поведінкою.

Програма-вимагач GoodMorning прагне вимагати своїх жертв, беручи їхні дані в заручники

Записка про викуп, видана GoodMorning Ransomware, повідомляє про жахливу ситуацію, стверджуючи, що життєво важливі дані пройшли шифрування та можуть бути відновлені лише за допомогою дешифратора. Вимога викупу передбачає платіж у розмірі 1,5 BTC, що еквівалентно понад 75 000 доларів США. Однак, враховуючи нестабільний характер біткойна, точна ціна може різко змінитися за короткий період часу.

Надаються інструкції про те, як отримати біткойни на таких платформах, як Binance або Coinbase, і очікується, що оплата буде спрямована на вказаний гаманець BTC, деталі якого надаються після контакту зі зловмисниками. Наголошується на суворому дотриманні цих інструкцій, попереджаючи, що будь-яке відхилення може призвести до безповоротної втрати коштів.

Жертвам загрози також надається контактна інформація, зокрема ToxID і посилання для завантаження TOXChat. У записці про викуп попереджається, що невиконання вимог щодо оплати призведе до продажу зібраних корпоративних файлів і баз даних третім сторонам або їхнього оприлюднення. Зловмисники окреслюють свої дії, якщо жертви відмовляться платити, передбачаючи організацію аукціонів на сайтах DarkNet для продажу витоку файлів і прямий контакт із потенційними покупцями, щоб пропонувати скомпрометовану інформацію на продаж.

Кіберзлочинці наголошують на важливості прямого спілкування, щоб уникнути посередницьких послуг, які можуть ввести в оману та утримати платежі від жертв. Записка запевняє жертв, що пряме спілкування забезпечує успішні переговори, і підкреслює прагнення до ввічливої та взаємовигідної взаємодії.

Незважаючи на примусовий характер повідомлення про викуп, користувачам дуже не рекомендується сплачувати викуп через пов’язані з цим ризики. Обіцянки зловмисників щодо відновлення файлів після оплати не мають гарантій. Крім того, миттєве видалення програм-вимагачів із скомпрометованих систем є вкрай важливим для мінімізації потенційних збитків, включаючи додаткове шифрування файлів.

Підвищте безпеку своїх пристроїв від атак програм-вимагачів і шкідливих програм

Атаки програм-вимагачів залишаються постійною загрозою в цифровому середовищі, спричиняючи потенційну втрату даних і фінансову шкоду для користувачів. Необхідно зміцнити свій захист від таких небезпечних дій. Ось п’ять основних заходів безпеки, які користувачі можуть застосувати на своїх пристроях, щоб посилити захист від атак програм-вимагачів.

• Регулярне резервне копіювання : регулярно створюйте резервні копії важливих даних на зовнішніх накопичувачах або безпечних хмарних платформах. У невдалому епізоді атаки програм-вимагачів наявність оновлених резервних копій дає змогу швидко відновитися, не піддаючись здирництву.
• Оновлення програмного забезпечення : постійно оновлюйте свою операційну систему, програмне забезпечення безпеки та програми. Своєчасне оновлення виправляє вразливості, якими можуть скористатися програми-вимагачі, підвищуючи загальну безпеку вашого пристрою.
• Пильність електронної пошти : будьте уважні, коли маєте справу з електронними листами, особливо з тими, що містять неочікувані вкладення або посилання. Фішингові електронні листи є поширеним способом доставки програм-вимагачів. Намагайтеся не відкривати підозрілі посилання та перевіряйте справжність неочікуваних електронних листів, перш ніж вживати будь-яких дій.
• Якісне програмне забезпечення безпеки : установіть надійне програмне забезпечення для захисту від шкідливих програм. Налаштуйте ці інструменти для регулярного сканування та постійного оновлення їхніх баз даних. Надійне програмне забезпечення безпеки може виявити та запобігти загрозам програм-вимагачів, перш ніж вони скомпрометують вашу систему.
• Заходи безпеки мережі : посиліть безпеку вашої мережі за допомогою брандмауерів і впровадження систем виявлення/запобігання вторгненням. Обмеження несанкціонованого доступу до вашої мережі допомагає запобігти поширенню програм-вимагачів у вашій системі, захищаючи важливі файли.

Застосування цих заходів безпеки може значно підвищити стійкість вашого пристрою проти атак програм-вимагачів. Поєднуючи профілактичні заходи, пильність користувачів і правильні інструменти безпеки, користувачі можуть мінімізувати ризик стати жертвою програм-вимагачів і захистити свої цінні цифрові активи. Будьте в курсі, будьте в безпеці.

Повний текст записки про викуп, який було опущено на пристрої, заражені програмою-вимагачем GoodMorning, такий:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'