Το GoodMorning Ransomware είναι μια απειλή παρά το παράξενο όνομα

Κατά την εξέταση νέων δειγμάτων κακόβουλου λογισμικού, εντοπίσαμε μια παραλλαγή της οικογένειας ransomware GlobeImposter, που ονομάζεται GoodMorning. Μόλις διεισδύσει σε ένα σύστημα, το GoodMorning ξεκινά την κρυπτογράφηση των αρχείων και προσθέτει την επέκταση ".goodmorning" στα ονόματα αρχείων. Δημιουργεί επίσης μια σημείωση λύτρων με το όνομα "how_to_back_files.html".

Για να επεξηγήσει τη διαδικασία μετονομασίας αρχείων, το GoodMorning αλλάζει ονόματα αρχείων όπως "1.jpg" σε "1.jpg.goodmorning" και "2.png" σε "2.png.goodmorning".

Το σημείωμα λύτρων δηλώνει ότι όλα τα κρίσιμα δεδομένα έχουν υποστεί κρυπτογράφηση και μπορούν να αποκατασταθούν μόνο μέσω αποκρυπτογράφησης. Απαιτεί πληρωμή 1,5 BTC για αποκρυπτογράφηση, διευκρινίζοντας ότι το ποσό αυτό καλύπτει όλους τους υπολογιστές και τους διακομιστές εντός του εταιρικού δικτύου.

Παρέχονται οδηγίες για την αγορά Bitcoin από αξιόπιστες πλατφόρμες όπως το Binance ή το Coinbase και την αποστολή της πληρωμής σε ένα συγκεκριμένο πορτοφόλι BTC, το οποίο θα αποκαλυφθεί μετά την επικοινωνία με τους εισβολείς. Η απόκλιση από αυτές τις οδηγίες τονίζεται καθώς μπορεί να οδηγήσει σε απώλεια κεφαλαίων.

Τα στοιχεία επικοινωνίας περιλαμβάνουν ένα ToxID και έναν σύνδεσμο για τη λήψη του TOXChat. Η σημείωση προειδοποιεί ότι η αδυναμία πραγματοποίησης της πληρωμής θα έχει ως αποτέλεσμα τα εταιρικά αρχεία και βάσεις δεδομένων είτε να πωληθούν σε τρίτους είτε να δημοσιοποιηθούν.

Καλημέρα Λύτρα Σημείωση

Το πλήρες κείμενο του σημειώματος για τα λύτρα GoodMorning έχει ως εξής:

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

Μπορείτε να κατεβάσετε το TOXChat εδώ: hxxps://tox.chat/download.html

Το μήνυμα πρέπει να περιέχει την προσωπική σας ταυτότητα! βρίσκεται στην κορυφή αυτού του εγγράφου.

Επίσης, τα εταιρικά σας αρχεία και βάσεις δεδομένων έχουν κλαπεί από το δίκτυό σας. Σε περίπτωση μη πληρωμής, διατηρούμε το δικαίωμα να τα πουλήσουμε σε τρίτους ή να τα δημοσιεύσουμε σε δημόσιους πόρους.

ΠΩΣ ΔΟΥΛΕΥΕΙ:
Σε περίπτωση μη πληρωμής, διοργανώνουμε μια δημοπρασία σε διάφορους ιστότοπους στο DarkNet και προσπαθούμε να πουλήσουμε αρχεία που έχουν διαρρεύσει από το δίκτυό σας σε ενδιαφερόμενα μέρη.
Στη συνέχεια, χρησιμοποιούμε αλληλογραφία + οποιεσδήποτε άλλες επαφές των πελατών σας και τους ειδοποιούμε για το τι συνέβη, ίσως τους ενδιαφέρει ώστε οι πληροφορίες να μην μπουν σε δημόσιο τομέα και να είναι έτοιμοι να αγοράσουν πληροφορίες ξεχωριστά.
Εάν δεν υπάρχουν αγοραστές πρόθυμοι να αγοράσουν, απλώς δημοσιεύουμε όλα όσα έχουμε σε δημόσιους πόρους.

Προσοχή!

Εάν χρειάζεστε πληροφορίες αποκρυπτογράφησης ή επιστροφής, επικοινωνήστε απευθείας μαζί μας, αποφύγετε την επικοινωνία με βοηθητικές υπηρεσίες, συχνά παίρνουν χρήματα και δεν μας τα στέλνουν, διασφαλίζοντας στους πελάτες ότι η συμφωνία απέτυχε χωρίς δική τους υπαιτιότητα. Ταυτόχρονα, αφήνοντας χρήματα στον εαυτό σας και ο πελάτης ενημερώνεται ότι τα χρήματα μεταφέρθηκαν σε εμάς. Η εγγύηση για επιτυχημένες προσφορές είναι μόνο μια άμεση επαφή! Εάν αποφασίσετε να διαπραγματευτείτε όχι δικό σας - μπορούμε να ζητήσουμε επιβεβαίωση της εξουσίας του διαπραγματευτή απευθείας από την εταιρεία. Παρακαλώ μην αγνοήσετε αυτά τα αιτήματα - διαφορετικά οι διαπραγματεύσεις θα φτάσουν σε αδιέξοδο και το πρόβλημα δεν θα επιλυθεί. Μην ντρέπεστε… Είναι απλώς δουλειά για εμάς και είμαστε πάντα έτοιμοι για ευγενική και αμοιβαία επωφελή επικοινωνία.

Πώς διανέμεται το Ransomware παρόμοιο με το GoodMorning;

Η διανομή του Ransomware, συμπεριλαμβανομένης της παραλλαγής GoodMorning, μοιράζεται συχνά ομοιότητες σε διάφορες τακτικές και τεχνικές. Ακολουθούν ορισμένες κοινές μέθοδοι διανομής:

Email ηλεκτρονικού ψαρέματος:
Το Ransomware διανέμεται συχνά μέσω μηνυμάτων ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Οι χρήστες ενδέχεται να εξαπατηθούν ώστε να ανοίξουν ένα συνημμένο, το οποίο στη συνέχεια εκτελεί το ransomware στο σύστημά τους. Το μήνυμα ηλεκτρονικού ταχυδρομείου μπορεί να φαίνεται νόμιμο, συχνά υποδύεται μια αξιόπιστη οντότητα.

Κακόβουλοι ιστότοποι:
Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστότοπους μπορεί να οδηγήσει στην αυτόματη λήψη και εκτέλεση ransomware. Αυτό μπορεί να συμβεί μέσω λήψεων Drive-by, όπου γίνεται λήψη κακόβουλου λογισμικού χωρίς τη γνώση ή τη συγκατάθεση του χρήστη.

Κιτ εκμετάλλευσης:
Τα κιτ εκμετάλλευσης στοχεύουν τρωτά σημεία στο λογισμικό, συχνά σε παλιές εφαρμογές ή προγράμματα περιήγησης. Όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο, το κιτ εκμετάλλευσης σαρώνει για ευπάθειες και παραδίδει το ωφέλιμο φορτίο ransomware για να εκμεταλλευτεί αυτές τις αδυναμίες.

Κακή διαφήμιση:
Οι κακόβουλες διαφημίσεις ή οι κακόβουλες διαφημίσεις μπορούν να προσφέρουν ransomware όταν οι χρήστες κάνουν κλικ σε παραβιασμένες διαφημίσεις σε νόμιμους ιστότοπους. Αυτές οι διαφημίσεις μπορεί να οδηγήσουν τους χρήστες σε ιστότοπους που φιλοξενούν κιτ εκμετάλλευσης ή να ξεκινήσουν τη λήψη του ransomware απευθείας.

Λήψεις Drive-by:
Το ransomware μπορεί να παραδοθεί μέσω λήψεων μέσω οδηγού όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ή κακόβουλο ιστότοπο. Το κακόβουλο λογισμικό μεταφορτώνεται αυτόματα και εκτελείται εν αγνοία του χρήστη.