GoodMorning Ransomware

在檢查惡意軟體威脅時，網路安全研究人員發現了一種特別強大的勒索軟體，稱為 GoodMorning。滲透系統後，GoodMorning 會進行檔案加密流程，影響目標裝置上存在的多種檔案類型。作為其獨特簽名的一部分，勒索軟體將「.goodmorning」副檔名附加到加密檔案的原始檔案名稱中。隨後，威脅留下了一張名為「how_to_back_files.html」的勒索字條。

為了說明GoodMorning 使用的檔案重命名方法，它將檔案名稱（例如“1.png”）轉換為“1.jpg.goodmorning”，將“2.pdf”轉換為“2.png.goodmorning”，從而展示了文件的一致更改擴充功能。值得注意的是，網路安全專家進行的細緻分析已確定 GoodMorning 是Globe Imposter 勒索軟體家族中的一個變種。此分類顯示與具有共同特徵和行為的更廣泛類別的勒索軟體有關。

GoodMorning 勒索軟體試圖透過劫持受害者的資料來勒索受害者

GoodMorning 勒索軟體發出的勒索字條傳達了一種可怕的情況，聲稱重要資料已被加密，只能透過使用解密器來恢復。贖金要求指定支付 1.5 BTC，相當於超過 75,000 美元。然而，考慮到比特幣的波動性，確切的價格可能會在短時間內發生巨大變化。

提供如何從 Binance 或 Coinbase 等平台獲取比特幣的說明，預計付款將定向到指定的 BTC 錢包，詳細資訊將在聯繫攻擊者後提供。強調嚴格遵守這些指示，警告任何偏差都可能導致不可逆轉的資金損失。

也向威脅受害者提供聯絡方式，包括 ToxID 和 TOXChat 下載連結。勒索信警告說，不遵守付款要求將導致收集到的公司文件和資料庫出售給第三方或公開曝光。攻擊者概述瞭如果受害者拒絕付款的行動方案，包括在暗網網站上組織拍賣以出售洩露的文件，並直接與潛在買家聯繫以提供洩露的資訊進行出售。

網路犯罪分子強調直接溝通的重要性，以避免可能誤導和扣留受害者付款的中介服務。該說明向受害者保證，直接溝通可確保談判成功，並強調對禮貌和互利互動的承諾。

儘管贖金票據具有強制性質，但由於涉及固有風險，強烈建議用戶支付贖金。攻擊者關於付款後恢復文件的承諾缺乏保證。此外，從受感染的系統中及時刪除勒索軟體對於最大限度地減少進一步損害的可能性至關重要，包括額外的文件加密。

提高裝置的安全性，抵禦勒索軟體和惡意軟體攻擊

勒索軟體攻擊仍然是數位領域的持續威脅，對用戶造成潛在的資料遺失和財務損失。加強防禦此類不安全活動勢在必行。使用者可在其裝置上實施以下五種基本安全措施，以加強防範勒索軟體攻擊。

• 定期備份：在外部磁碟機或安全雲端平台上定期備份關鍵資料。在不幸的勒索軟體攻擊事件中，擁有最新的備份可以快速恢復，而不會遭受勒索。
• 軟體更新：保持作業系統、安全軟體和應用程式更新。及時更新勒索軟體可能利用的修補漏洞，增強設備的整體安全態勢。
• 電子郵件警覺：處理電子郵件時要小心，尤其是那些包含意外附件或連結的電子郵件。網路釣魚電子郵件是一種常見的勒索軟體傳遞方法。在採取任何行動之前，盡量不要訪問可疑連結並驗證意外電子郵件的真實性。
• 優質安全軟體：安裝信譽良好的反惡意軟體。配置這些工具以進行定期掃描並一致更新其資料庫。可靠的安全軟體可以在勒索軟體威脅危害您的系統之前偵測並阻止它們。
• 網路安全措施：透過使用防火牆和實施入侵偵測/預防系統來加強網路安全。限制對網路的未經授權的存取有助於防止勒索軟體在系統內傳播，從而保護關鍵文件。

實施這些安全措施可以顯著增強您的裝置抵禦勒索軟體攻擊的能力。透過結合主動措施、使用者警覺性和正確的安全工具，使用者可以最大限度地降低成為勒索軟體受害者的風險並保護其寶貴的數位資產。隨時了解狀況，保持安全。

投向受 GoodMorning 勒索軟體感染的裝置的勒索信全文如下：

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'