GoodMorning Ransomware est une menace malgré un nom étrange

Lors de l'examen de nouveaux échantillons de logiciels malveillants, nous avons identifié une variante de la famille de ransomwares GlobeImposter, nommée GoodMorning. Une fois infiltré un système, GoodMorning commence le cryptage des fichiers et ajoute l'extension « .goodmorning » aux noms de fichiers. Il génère également une demande de rançon nommée « how_to_back_files.html ».

Pour illustrer le processus de renommage des fichiers, GoodMorning modifie les noms de fichiers tels que « 1.jpg » en « 1.jpg.goodmorning » et « 2.png » en « 2.png.goodmorning ».

La demande de rançon déclare que toutes les données cruciales ont été cryptées et ne peuvent être restaurées que via un décrypteur. Il exige un paiement de 1,5 BTC pour le décryptage, précisant que ce montant couvre tous les ordinateurs et serveurs du réseau d'entreprise.

Des instructions sont fournies pour acheter du Bitcoin sur des plateformes réputées comme Binance ou Coinbase et envoyer le paiement vers un portefeuille BTC spécifique, qui sera divulgué après avoir contacté les attaquants. Il est important de s'écarter de ces instructions car cela pourrait entraîner une perte de fonds.

Les coordonnées incluent un ToxID et un lien pour télécharger TOXChat. La note prévient que le non-paiement entraînera la vente des fichiers et des bases de données de l'entreprise à des tiers ou leur divulgation publique.

Note de rançon Bonjour

Le texte intégral de la demande de rançon GoodMorning se lit comme suit :

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ID toxique : CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

Vous pouvez télécharger TOXChat ici : hxxps://tox.chat/download.html

Le message doit contenir votre identifiant personnel ! c'est en haut de ce document.

De plus, vos fichiers et bases de données d'entreprise ont été volés sur votre réseau. En cas de non-paiement, nous nous réservons le droit de les vendre à des tiers ou de les publier dans des ressources publiques.

COMMENT ÇA FONCTIONNE:
En cas de non-paiement, nous organisons une vente aux enchères sur différents sites du DarkNet et essayons de vendre les fichiers divulgués de votre réseau aux parties intéressées.
Ensuite, nous utilisons le courrier + tous les autres contacts de vos clients et les informons de ce qui s'est passé, peut-être qu'ils seront intéressés afin que les informations ne tombent pas dans le domaine public et seront prêts à acheter les informations séparément.
S’il n’y a pas d’acheteurs disposés à acheter, nous publions simplement tout ce que nous possédons dans les ressources publiques.

Attention!

Si vous avez besoin d'un décrypteur ou de retourner des informations, veuillez nous contacter directement, évitez de communiquer avec les services d'assistance, ils prennent souvent de l'argent et ne nous l'envoient pas, assurant aux clients que la transaction a échoué sans que ce soit de leur faute. En même temps, en vous laissant de l'argent, le client est informé que l'argent nous a été transféré. La garantie d'une transaction réussie n'est qu'un contact direct ! Si vous décidez de négocier sans être propriétaire, nous pouvons demander la confirmation de l'autorité du négociateur directement auprès de l'entreprise. S'il vous plaît, n'ignorez pas ces demandes, sinon les négociations aboutiront à une impasse et le problème ne sera pas résolu. N'hésitez pas… Ce ne sont que des affaires pour nous et nous sommes toujours prêts à établir une communication polie et mutuellement bénéfique.

Comment les ransomwares similaires à GoodMorning sont-ils distribués ?

La distribution des Ransomwares, y compris la variante GoodMorning, partage souvent des similitudes dans diverses tactiques et techniques. Voici quelques méthodes de distribution courantes :

E-mails de phishing :
Les ransomwares sont fréquemment distribués via des e-mails de phishing contenant des pièces jointes ou des liens malveillants. Les utilisateurs peuvent être amenés à ouvrir une pièce jointe, qui exécute ensuite le ransomware sur leur système. L'e-mail peut sembler légitime et se fait souvent passer pour une entité de confiance.

Les sites Web malveillants:
La visite de sites Web compromis ou malveillants peut entraîner le téléchargement et l’exécution automatiques de ransomwares. Cela peut se produire via des téléchargements drive-by, où des logiciels malveillants sont téléchargés à l'insu ou sans le consentement de l'utilisateur.

Kits d'exploitation :
Les kits d’exploitation ciblent les vulnérabilités des logiciels, souvent dans des applications ou des navigateurs obsolètes. Lorsqu'un utilisateur visite un site Web compromis, le kit d'exploitation recherche les vulnérabilités et fournit la charge utile du ransomware pour exploiter ces faiblesses.

Publicité malveillante :
Les publicités malveillantes, ou publicités malveillantes, peuvent diffuser des ransomwares lorsque les utilisateurs cliquent sur des publicités compromises sur des sites Web légitimes. Ces publicités peuvent diriger les utilisateurs vers des sites Web hébergeant des kits d’exploitation ou lancer directement le téléchargement de ransomwares.

Téléchargements au volant :
Les ransomwares peuvent être diffusés via des téléchargements inopinés lorsqu'un utilisateur visite un site Web compromis ou malveillant. Le malware est automatiquement téléchargé et exécuté à l'insu de l'utilisateur.