GoodMorning Ransomware

在检查恶意软件威胁时，网络安全研究人员发现了一种特别强大的勒索软件，称为 GoodMorning。渗透系统后，GoodMorning 会进行文件加密过程，影响目标设备上存在的多种文件类型。作为其独特签名的一部分，勒索软件将“.goodmorning”扩展名附加到加密文件的原始文件名中。随后，威胁留下了一张名为“how_to_back_files.html”的勒索字条。

为了说明 GoodMorning 使用的文件重命名方法，它将文件名（例如“1.png”）转换为“1.jpg.goodmorning”，将“2.pdf”转换为“2.png.goodmorning”，从而展示了文件的一致更改扩展。值得注意的是，网络安全专家进行的细致分析已确定 GoodMorning 是Globe Imposter 勒索软件家族中的一个变种。此分类表明与具有共同特征和行为的更广泛类别的勒索软件有关。

GoodMorning 勒索软件试图通过劫持受害者的数据来勒索受害者

GoodMorning 勒索软件发出的勒索字条传达了一种可怕的情况，声称重要数据已被加密，只能通过使用解密器来恢复。赎金要求指定支付 1.5 BTC，相当于超过 75,000 美元。然而，考虑到比特币的波动性，确切的价格可能会在短时间内发生巨大变化。

提供了如何从 Binance 或 Coinbase 等平台获取比特币的说明，预计付款将定向到指定的 BTC 钱包，详细信息将在联系攻击者后提供。强调严格遵守这些指示，警告任何偏差都可能导致不可逆转的资金损失。

还向威胁受害者提供联系方式，包括 ToxID 和 TOXChat 下载链接。勒索信警告说，不遵守付款要求将导致收集到的公司文件和数据库出售给第三方或公开曝光。攻击者概述了如果受害者拒绝付款的行动方案，包括在暗网网站上组织拍卖以出售泄露的文件，并直接与潜在买家联系以提供泄露的信息进行出售。

网络犯罪分子强调直接沟通的重要性，以避免可能误导和扣留受害者付款的中介服务。该说明向受害者保证，直接沟通可确保谈判成功，并强调对礼貌和互利互动的承诺。

尽管赎金票据具有强制性质，但由于涉及固有风险，强烈建议用户支付赎金。攻击者关于付款后恢复文件的承诺缺乏保证。此外，从受感染的系统中及时删除勒索软件对于最大限度地减少进一步损害的可能性至关重要，包括额外的文件加密。

提高设备的安全性，抵御勒索软件和恶意软件攻击

勒索软件攻击仍然是数字领域的持续威胁，给用户造成潜在的数据丢失和财务损失。加强防御此类不安全活动势在必行。用户可以在其设备上实施以下五种基本安全措施，以加强防范勒索软件攻击。

• 定期备份：在外部驱动器或安全云平台上定期备份关键数据。在不幸的勒索软件攻击事件中，拥有最新的备份可以快速恢复，而不会遭受勒索。
• 软件更新：保持操作系统、安全软件和应用程序更新。及时更新勒索软件可能利用的补丁漏洞，增强设备的整体安全态势。
• 电子邮件警惕：处理电子邮件时要小心，尤其是那些包含意外附件或链接的电子邮件。网络钓鱼电子邮件是一种常见的勒索软件传递方法。在采取任何行动之前，尽量不要访问可疑链接并验证意外电子邮件的真实性。
• 优质安全软件：安装信誉良好的反恶意软件。配置这些工具以进行定期扫描并一致更新其数据库。可靠的安全软件可以在勒索软件威胁危害您的系统之前检测并阻止它们。
• 网络安全措施：通过使用防火墙和实施入侵检测/预防系统来加强网络安全。限制对网络的未经授权的访问有助于防止勒索软件在系统内传播，从而保护关键文件。

实施这些安全措施可以显着增强您的设备抵御勒索软件攻击的能力。通过结合主动措施、用户警惕性和正确的安全工具，用户可以最大限度地降低成为勒索软件受害者的风险并保护其宝贵的数字资产。随时了解情况，保持安全。

投向受 GoodMorning 勒索软件感染的设备的勒索信全文如下：

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'