GoodMorning Ransomware ist trotz seltsamem Namen eine Bedrohung

Bei der Untersuchung neuer Malware-Beispiele haben wir eine Variante der GlobeImposter-Ransomware-Familie namens GoodMorning identifiziert. Sobald GoodMorning in ein System eindringt, beginnt es mit der Verschlüsselung von Dateien und hängt den Dateinamen die Erweiterung „.goodmorning“ an. Außerdem wird eine Lösegeldforderung mit dem Namen „how_to_back_files.html“ generiert.

Um den Dateiumbenennungsprozess zu veranschaulichen, ändert GoodMorning Dateinamen wie „1.jpg“ in „1.jpg.goodmorning“ und „2.png“ in „2.png.goodmorning“.

In der Lösegeldforderung heißt es, dass alle wichtigen Daten verschlüsselt wurden und nur durch einen Entschlüsseler wiederhergestellt werden können. Für die Entschlüsselung wird eine Zahlung von 1,5 BTC verlangt, wobei angegeben wird, dass dieser Betrag alle Computer und Server im Unternehmensnetzwerk abdeckt.

Es werden Anweisungen zum Kauf von Bitcoin auf seriösen Plattformen wie Binance oder Coinbase und zum Senden der Zahlung an ein bestimmtes BTC-Wallet bereitgestellt, das nach Kontaktaufnahme mit den Angreifern bekannt gegeben wird. Es wird ausdrücklich darauf hingewiesen, dass ein Abweichen von diesen Anweisungen zu einem Verlust von Geldern führen kann.

Zu den Kontaktdaten gehören eine ToxID und ein Link zum Herunterladen von TOXChat. In der Mitteilung wird gewarnt, dass die Nichtzahlung der Zahlung dazu führen wird, dass die Unternehmensdateien und Datenbanken entweder an Dritte verkauft oder öffentlich zugänglich gemacht werden.

Guten Morgen Lösegeldschein

Der vollständige Text der GoodMorning-Lösegeldforderung lautet wie folgt:

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

Sie können TOXChat hier herunterladen: hxxps://tox.chat/download.html

Die Nachricht muss Ihre persönliche ID enthalten! es befindet sich oben in diesem Dokument.

Außerdem wurden Ihre Unternehmensdateien und Datenbanken aus Ihrem Netzwerk gestohlen. Bei Nichtzahlung behalten wir uns das Recht vor, diese an Dritte zu verkaufen oder in öffentlichen Datenbanken zu veröffentlichen.

WIE ES FUNKTIONIERT:
Im Falle einer Nichtzahlung veranstalten wir eine Auktion auf verschiedenen Seiten im DarkNet und versuchen, aus Ihrem Netzwerk geleakte Dateien an Interessenten zu verkaufen.
Als nächstes verwenden wir E-Mails + alle anderen Kontakte Ihrer Kunden und benachrichtigen sie über den Vorfall. Möglicherweise sind sie daran interessiert, dass die Informationen nicht öffentlich zugänglich werden, und sind bereit, die Informationen separat zu erwerben.
Wenn es keine kaufwilligen Käufer gibt, veröffentlichen wir einfach alles, was wir haben, in öffentlichen Quellen.

Aufmerksamkeit!

Wenn Sie einen Entschlüsseler oder Rücksendeinformationen benötigen, wenden Sie sich bitte direkt an uns. Vermeiden Sie die Kommunikation mit Hilfsdiensten, da diese häufig Geld entgegennehmen und es nicht an uns senden, um Kunden zu versichern, dass der Deal ohne ihr Verschulden fehlgeschlagen ist. Gleichzeitig überlassen Sie das Geld Ihnen selbst und der Kunde wird darüber informiert, dass das Geld an uns überwiesen wurde. Die Garantie für ein erfolgreiches Geschäft ist nur ein direkter Kontakt! Wenn Sie sich entscheiden, nicht zu verhandeln, können wir direkt vom Unternehmen eine Bestätigung der Verhandlungsvollmacht anfordern. Bitte ignorieren Sie diese Bitten nicht, sonst geraten die Verhandlungen in eine Sackgasse und das Problem wird nicht gelöst. Scheuen Sie sich nicht ... Für uns geht es nur ums Geschäft und wir sind immer zu einer höflichen und für beide Seiten vorteilhaften Kommunikation bereit.

Inwiefern ähnelt Ransomware GoodMorning?

Die Verbreitung von Ransomware, einschließlich der GoodMorning-Variante, weist häufig Ähnlichkeiten in verschiedenen Taktiken und Techniken auf. Hier sind einige gängige Verteilungsmethoden:

Phishing-E-Mails:
Ransomware wird häufig über Phishing-E-Mails verbreitet, die schädliche Anhänge oder Links enthalten. Benutzer können dazu verleitet werden, einen Anhang zu öffnen, der dann die Ransomware auf ihrem System ausführt. Die E-Mail kann legitim erscheinen und häufig die Identität einer vertrauenswürdigen Entität vortäuschen.

Bösartige Webseiten:
Der Besuch kompromittierter oder bösartiger Websites kann zum automatischen Herunterladen und Ausführen von Ransomware führen. Dies kann durch Drive-by-Downloads geschehen, bei denen Malware ohne Wissen oder Zustimmung des Benutzers heruntergeladen wird.

Exploit-Kits:
Exploit-Kits zielen auf Schwachstellen in Software ab, häufig in veralteten Anwendungen oder Browsern. Wenn ein Benutzer eine kompromittierte Website besucht, sucht das Exploit-Kit nach Schwachstellen und liefert die Ransomware-Payload, um diese Schwachstellen auszunutzen.

Malvertising:
Schädliche Werbung oder Malvertising kann Ransomware übertragen, wenn Benutzer auf manipulierten Anzeigen auf legitimen Websites klicken. Diese Anzeigen können Benutzer zu Websites führen, die Exploit-Kits hosten, oder den Download von Ransomware direkt veranlassen.

Drive-by-Downloads:
Ransomware kann durch Drive-by-Downloads übertragen werden, wenn ein Benutzer eine kompromittierte oder bösartige Website besucht. Die Malware wird ohne Wissen des Benutzers automatisch heruntergeladen und ausgeführt.