GoodMorning Ransomware es una amenaza a pesar de su extraño nombre

ransomware

Durante el examen de nuevas muestras de malware, identificamos una variante de la familia de ransomware GlobeImposter, denominada GoodMorning. Una vez que se infiltra en un sistema, GoodMorning comienza a cifrar los archivos y agrega la extensión ".goodmorning" a los nombres de los archivos. También genera una nota de rescate llamada "how_to_back_files.html".

Para ilustrar el proceso de cambio de nombre de archivos, GoodMorning modifica nombres de archivos como "1.jpg" a "1.jpg.goodmorning" y "2.png" a "2.png.goodmorning".

La nota de rescate declara que todos los datos cruciales se han cifrado y solo pueden restaurarse mediante un descifrador. Exige un pago de 1,5 BTC por el descifrado, especificando que esta cantidad cubre todas las computadoras y servidores dentro de la red corporativa.

Se proporcionan instrucciones para comprar Bitcoin en plataformas acreditadas como Binance o Coinbase y enviar el pago a una billetera BTC específica, que se revelará después de contactar a los atacantes. Se enfatiza que desviarse de estas instrucciones puede resultar en una pérdida de fondos.

Los datos de contacto incluyen un ToxID y un enlace para descargar TOXChat. La nota advierte que si no se realiza el pago, los archivos y bases de datos corporativos se venderán a terceros o se divulgarán públicamente.

Nota de rescate de buenos días

El texto completo de la nota de rescate de GoodMorning dice lo siguiente:

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ID tóxico: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

Puede descargar TOXChat aquí: hxxps://tox.chat/download.html

¡El mensaje debe contener su identificación personal! está en la parte superior de este documento.

Además, sus archivos y bases de datos corporativos han sido robados de su red. En caso de impago, nos reservamos el derecho de venderlos a terceros o publicarlos en revistas públicas.

CÓMO FUNCIONA:
En caso de impago, organizamos una subasta en varios sitios de DarkNet e intentamos vender los archivos filtrados de su red a las partes interesadas.
A continuación, usamos el correo + cualquier otro contacto de sus clientes, y les notificamos lo sucedido, tal vez les interese que la información no sea de dominio público y estén listos para comprar información por separado.
Si no hay compradores dispuestos a comprar, simplemente publicamos todo lo que tenemos en recursos públicos.

¡Atención!

Si necesita un descifrador o devolver información, comuníquese con nosotros directamente, evite comunicarse con los servicios de ayuda, a menudo aceptan dinero y no nos lo envían, asegurando a los clientes que el trato fracasó sin culpa suya. Al mismo tiempo, se deja el dinero a usted mismo y se le informa al cliente que el dinero nos fue transferido. ¡La garantía de un negocio exitoso es sólo un contacto directo! Si decide negociar sin ser propietario, podemos solicitar la confirmación de la autoridad del negociador directamente a la empresa. Por favor, no ignore estas solicitudes; de lo contrario, las negociaciones llegarán a un punto muerto y el problema no se resolverá. No seas tímido... Para nosotros es sólo un negocio y siempre estamos dispuestos a mantener una comunicación cortés y mutuamente beneficiosa.

¿En qué se parece el ransomware a GoodMorning distribuido?

La distribución de ransomware, incluida la variante GoodMorning, suele compartir similitudes en varias tácticas y técnicas. A continuación se muestran algunos métodos de distribución comunes:

Correos electrónicos de phishing:
 El ransomware se distribuye con frecuencia a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Se puede engañar a los usuarios para que abran un archivo adjunto, que luego ejecuta el ransomware en su sistema. El correo electrónico puede parecer legítimo y, a menudo, hacerse pasar por una entidad confiable.

Páginas web maliciosas:
 Visitar sitios web comprometidos o maliciosos puede provocar la descarga y ejecución automática de ransomware. Esto puede ocurrir mediante descargas no autorizadas, donde se descarga malware sin el conocimiento o consentimiento del usuario.

Kits de explotación:
 Los kits de explotación apuntan a vulnerabilidades en el software, a menudo en aplicaciones o navegadores obsoletos. Cuando un usuario visita un sitio web comprometido, el kit de explotación busca vulnerabilidades y entrega la carga útil del ransomware para explotar estas debilidades.

Publicidad maliciosa:
 Los anuncios maliciosos, o publicidad maliciosa, pueden generar ransomware cuando los usuarios hacen clic en anuncios comprometidos en sitios web legítimos. Estos anuncios pueden llevar a los usuarios a sitios web que alojan kits de exploits o inician la descarga de ransomware directamente.

Descargas no autorizadas:
 El ransomware se puede distribuir mediante descargas no autorizadas cuando un usuario visita un sitio web comprometido o malicioso. El malware se descarga y ejecuta automáticamente sin el conocimiento del usuario.

En Zaib
February 22, 2024
Ransomware
Spanish
February 22, 2024
Ransomware

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.