GoodMorning Ransomware

Trong quá trình kiểm tra các mối đe dọa từ phần mềm độc hại, các nhà nghiên cứu an ninh mạng đã xác định được một loại ransomware đặc biệt đáng gờm có tên GoodMorning. Khi xâm nhập vào hệ thống, GoodMorning tham gia vào một quá trình mã hóa tệp tác động đến nhiều loại tệp có trên thiết bị được nhắm mục tiêu. Là một phần của dấu hiệu đặc biệt, ransomware gắn thêm phần mở rộng '.goodmorning' vào tên tệp gốc của các tệp được mã hóa. Sau đó, mối đe dọa để lại một thông báo đòi tiền chuộc có tên 'how_to_back_files.html.'

Để minh họa phương pháp đổi tên tệp được GoodMorning sử dụng, nó chuyển đổi các tên tệp như '1.png' thành '1.jpg.goodmorning' và '2.pdf' thành '2.png.goodmorning', thể hiện sự thay đổi nhất quán của tệp phần mở rộng. Đáng chú ý là các phân tích tỉ mỉ được thực hiện bởi các chuyên gia an ninh mạng đã xác định GoodMorning là một biến thể trong gia đình Globe Imposter Ransomware . Phân loại này cho thấy mối liên hệ với một danh mục ransomware rộng hơn với các đặc điểm và hành vi chung.

Ransomware GoodMorning tìm cách tống tiền nạn nhân bằng cách lấy dữ liệu của họ làm con tin

Thông báo đòi tiền chuộc do GoodMorning Ransomware đưa ra cho thấy một tình huống nghiêm trọng, khẳng định rằng dữ liệu quan trọng đã được mã hóa và chỉ có thể được khôi phục thông qua việc sử dụng bộ giải mã. Yêu cầu tiền chuộc chỉ định khoản thanh toán 1,5 BTC, tương đương hơn 75.000 USD. Tuy nhiên, xét đến tính chất dễ biến động của Bitcoin, giá chính xác có thể thay đổi đáng kể trong một khoảng thời gian ngắn.

Hướng dẫn được cung cấp về cách nhận Bitcoin từ các nền tảng như Binance hoặc Coinbase và khoản thanh toán dự kiến sẽ được chuyển đến một ví BTC được chỉ định, thông tin chi tiết về ví này sẽ được cung cấp sau khi liên hệ với những kẻ tấn công. Nhấn mạnh vào việc tuân thủ nghiêm ngặt các hướng dẫn này, cảnh báo rằng bất kỳ sai lệch nào cũng có thể dẫn đến việc mất tiền không thể khắc phục được.

Thông tin liên hệ chi tiết, bao gồm ToxID và liên kết tải xuống TOXChat, cũng được cung cấp cho nạn nhân của mối đe dọa. Thông báo đòi tiền chuộc cảnh báo rằng việc không tuân thủ các yêu cầu thanh toán sẽ dẫn đến việc bán các tập tin và cơ sở dữ liệu đã thu thập của công ty cho các bên thứ ba hoặc bị lộ ra công chúng. Những kẻ tấn công phác thảo hành động của chúng nếu nạn nhân từ chối thanh toán, liên quan đến việc tổ chức đấu giá trên các trang DarkNet để bán các tệp bị rò rỉ và liên hệ trực tiếp với những người mua tiềm năng để chào bán thông tin bị xâm phạm.

Tội phạm mạng nhấn mạnh tầm quan trọng của việc liên lạc trực tiếp để tránh các dịch vụ trung gian có thể đánh lừa và giữ lại các khoản thanh toán từ nạn nhân. Ghi chú đảm bảo với nạn nhân rằng giao tiếp trực tiếp đảm bảo các cuộc đàm phán thành công và nhấn mạnh cam kết về các tương tác lịch sự và cùng có lợi.

Bất chấp tính chất cưỡng bức của thông báo đòi tiền chuộc, người dùng không được khuyến khích trả tiền chuộc do những rủi ro cố hữu liên quan. Lời hứa của những kẻ tấn công về việc khôi phục tập tin sau khi thanh toán thiếu sự đảm bảo. Hơn nữa, việc loại bỏ kịp thời phần mềm tống tiền khỏi các hệ thống bị xâm nhập được nhấn mạnh là rất quan trọng để giảm thiểu khả năng gây thiệt hại thêm, bao gồm cả việc mã hóa tệp bổ sung.

Tăng cường bảo mật cho thiết bị của bạn trước các cuộc tấn công của phần mềm độc hại và ransomware

Các cuộc tấn công bằng ransomware tiếp tục là mối đe dọa dai dẳng trong bối cảnh kỹ thuật số, có thể gây mất dữ liệu và gây tổn hại tài chính cho người dùng. Tăng cường khả năng phòng vệ của bạn trước những hoạt động không an toàn như vậy là điều bắt buộc. Dưới đây là năm biện pháp bảo mật thiết yếu mà người dùng có thể triển khai trên thiết bị của mình để tăng cường bảo vệ trước các cuộc tấn công của ransomware.

• Sao lưu thường xuyên : Tiến hành sao lưu thường xuyên dữ liệu quan trọng của bạn trên ổ đĩa ngoài hoặc nền tảng đám mây an toàn. Trong trường hợp đáng tiếc của một cuộc tấn công bằng ransomware, việc có các bản sao lưu cập nhật sẽ giúp phục hồi nhanh chóng mà không bị tống tiền.
• Cập nhật phần mềm : Luôn cập nhật hệ điều hành, phần mềm bảo mật và ứng dụng của bạn. Cập nhật kịp thời vá các lỗ hổng mà ransomware có thể khai thác, nâng cao tình trạng bảo mật tổng thể cho thiết bị của bạn.
• Cảnh giác với email : Hãy thận trọng khi xử lý email, đặc biệt là những email có chứa tệp đính kèm hoặc liên kết không mong muốn. Email lừa đảo là một phương thức gửi ransomware phổ biến. Cố gắng không truy cập các liên kết đáng ngờ và xác minh tính xác thực của các email không mong muốn trước khi thực hiện bất kỳ hành động nào.
• Phần mềm bảo mật chất lượng : Cài đặt phần mềm diệt virus uy tín. Định cấu hình các công cụ này để tiến hành quét thường xuyên và cập nhật cơ sở dữ liệu của chúng một cách nhất quán. Phần mềm bảo mật đáng tin cậy có thể phát hiện và ngăn chặn các mối đe dọa ransomware trước khi chúng xâm phạm hệ thống của bạn.
• Các biện pháp an ninh mạng : Tăng cường an ninh mạng của bạn bằng cách sử dụng tường lửa và triển khai các hệ thống phát hiện/ngăn chặn xâm nhập. Hạn chế quyền truy cập trái phép vào mạng của bạn giúp ngăn chặn sự lây lan của phần mềm tống tiền trong hệ thống của bạn, bảo vệ các tệp quan trọng.

Việc triển khai các biện pháp bảo mật này có thể nâng cao đáng kể khả năng phục hồi của thiết bị trước các cuộc tấn công của ransomware. Bằng cách kết hợp các biện pháp chủ động, sự cảnh giác của người dùng và các công cụ bảo mật phù hợp, người dùng có thể giảm thiểu nguy cơ trở thành nạn nhân của ransomware và bảo vệ tài sản kỹ thuật số có giá trị của họ. Luôn cập nhật thông tin, giữ an toàn.

Toàn bộ nội dung của thông báo đòi tiền chuộc gửi đến các thiết bị bị nhiễm GoodMorning Ransomware là:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'