GoodMorning Ransomware er en trussel på trods af mærkeligt navn

Under undersøgelsen af nye malware-prøver identificerede vi en variant af GlobeImposter ransomware-familien ved navn GoodMorning. Når GoodMorning har infiltreret et system, begynder kryptering af filer og tilføjer filnavnet ".goodmorning" til filnavne. Det genererer også en løsesum note med navnet "how_to_back_files.html."

For at illustrere filomdøbningsprocessen ændrer GoodMorning filnavne som "1.jpg" til "1.jpg.goodmorning" og "2.png" til "2.png.goodmorning."

Løsesedlen erklærer, at alle vigtige data har gennemgået kryptering og kun kan gendannes gennem en dekryptering. Det kræver en betaling på 1,5 BTC for dekryptering, og angiver, at dette beløb dækker alle computere og servere i virksomhedens netværk.

Der gives instruktioner til at købe Bitcoin fra velrenommerede platforme som Binance eller Coinbase og sende betalingen til en specifik BTC-pung, som vil blive afsløret efter kontakt til angriberne. Afvigelse fra disse instruktioner understreges, da det kan resultere i tab af midler.

Kontaktoplysninger inkluderer et ToxID og et link til download af TOXChat. Notatet advarer om, at manglende betaling vil føre til, at virksomhedens filer og databaser enten sælges til tredjeparter eller offentliggøres.

Godmorgen løsesum note

Den fulde tekst af GoodMorning løsesum noten lyder som følger:

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

Du kan downloade TOXChat her: hxxps://tox.chat/download.html

Beskeden skal indeholde dit personlige ID! det er øverst i dette dokument.

Dine firmafiler og databaser er også blevet stjålet fra dit netværk. I tilfælde af manglende betaling forbeholder vi os retten til at sælge dem til tredjemand eller offentliggøre dem i offentlige genbrug.

HVORDAN DET VIRKER:
I tilfælde af manglende betaling arrangerer vi en auktion på forskellige sider i DarkNet og forsøger at sælge filer lækket fra dit netværk til interesserede parter.
Dernæst bruger vi mail + eventuelle andre kontakter til dine kunder, og underretter dem om, hvad der skete, måske vil de være interesserede, så information ikke bliver offentligt tilgængeligt og vil være klar til at købe information separat.
Hvis der ikke er købere, der er villige til at købe, offentliggør vi simpelthen alt, hvad vi har i offentlige ressourcer.

Opmærksomhed!

Hvis du har brug for en dekryptering eller returneringsoplysninger, bedes du kontakte os direkte, undgå at kommunikere med hjælper-tjenester, de tager ofte penge og sender dem ikke til os, for at forsikre kunderne om, at handlen mislykkedes uden deres skyld. På samme tid, efterlader penge til dig selv, og klienten er informeret om, at penge blev overført til os. Garantien for en succesfuld handel er kun en direkte kontakt! Hvis du beslutter dig for at forhandle ikke ejer - kan vi anmode om bekræftelse af forhandlerens bemyndigelse direkte fra virksomheden. Ignorer venligst ikke disse anmodninger - ellers vil forhandlingerne komme i et dødvande, og problemet vil ikke blive løst. Vær ikke genert... Det er bare for os, og vi er altid klar til høflig og gensidigt gavnlig kommunikation.

Hvordan er ransomware magen til GoodMorning distribueret?

Distributionen af Ransomware, inklusive GoodMorning-varianten, deler ofte ligheder i forskellige taktikker og teknikker. Her er nogle almindelige distributionsmetoder:

Phishing-e-mails:
Ransomware distribueres ofte gennem phishing-e-mails, der indeholder ondsindede vedhæftede filer eller links. Brugere kan blive narret til at åbne en vedhæftet fil, som derefter udfører ransomwaren på deres system. E-mailen kan forekomme legitim, og efterligner ofte en betroet enhed.

Ondsindede websteder:
Besøg på kompromitterede eller ondsindede websteder kan føre til automatisk download og udførelse af ransomware. Dette kan ske gennem drive-by downloads, hvor malware downloades uden brugerens viden eller samtykke.

Udnyttelsessæt:
Udnyttelsessæt retter sig mod sårbarheder i software, ofte i forældede applikationer eller browsere. Når en bruger besøger et kompromitteret websted, scanner udnyttelsessættet for sårbarheder og leverer ransomware-nyttelasten for at udnytte disse svagheder.

Malvertising:
Ondsindede annoncer eller malvertising kan levere ransomware, når brugere klikker på kompromitterede annoncer på legitime websteder. Disse annoncer kan føre brugere til websteder, der hoster udnyttelsessæt eller starter download af ransomware direkte.

Drive-by-downloads:
Ransomware kan leveres gennem drive-by-downloads, når en bruger besøger et kompromitteret eller ondsindet websted. Malwaren downloades og udføres automatisk uden brugerens viden.