A GoodMorning Ransomware a furcsa név ellenére fenyegetést jelent

Az új kártevő-minták vizsgálata során azonosítottuk a GlobeImposter ransomware család egy változatát, a GoodMorning nevet. A rendszerbe való behatolást követően a GoodMorning megkezdi a fájlok titkosítását, és hozzáfűzi a ".goodmorning" kiterjesztést a fájlnevekhez. Ezenkívül létrehoz egy váltságdíjat is, amelynek neve "how_to_back_files.html".

A fájl átnevezési folyamat szemléltetésére a GoodMorning a fájlneveket, például az „1.jpg”-t „1.jpg.goodmorning”-ra és a „2.png”-t „2.png.goodmorning”-ra módosítja.

A váltságdíj kijelenti, hogy az összes kulcsfontosságú adatot titkosították, és csak visszafejtővel lehet visszaállítani. A visszafejtésért 1,5 BTC fizetést követel, amely meghatározza, hogy ez az összeg a vállalati hálózaton belüli összes számítógépre és szerverre vonatkozik.

Utasításokat adunk a Bitcoin jó hírű platformokon, például a Binance vagy a Coinbase segítségével történő vásárlásához, és a fizetés egy adott BTC pénztárcába történő elküldéséhez, amelyet a támadókkal való kapcsolatfelvétel után teszünk közzé. Az utasításoktól való eltérést hangsúlyozzuk, mivel az pénzeszközök elvesztéséhez vezethet.

Az elérhetőségek között szerepel egy ToxID és egy link a TOXChat letöltéséhez. A feljegyzés arra figyelmeztet, hogy a fizetés elmulasztása a vállalati fájlok és adatbázisok harmadik félnek történő értékesítéséhez vagy nyilvános közzétételéhez vezethet.

Good Morning Ransom Note

A Good Morning váltságdíjról szóló feljegyzés teljes szövege a következő:

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

A TOXChat innen tölthető le: hxxps://tox.chat/download.html

Az üzenetnek tartalmaznia kell a személyi azonosítót! ez a dokumentum tetején található.

Ezenkívül a vállalati fájlokat és adatbázisokat ellopták a hálózatáról. Fizetés elmulasztása esetén fenntartjuk a jogot, hogy azokat harmadik félnek értékesítsük, vagy nyilvánosan közzétegyük.

HOGYAN MŰKÖDIK:
Nem fizetés esetén aukciót szervezünk a DarkNet különböző oldalain, és megpróbáljuk eladni az Ön hálózatáról kiszivárgott fájlokat az érdeklődőknek.
Ezt követően a leveleket és az ügyfelek egyéb elérhetőségeit használjuk, és értesítjük őket a történtekről, esetleg érdeklődni fognak, hogy az információ ne kerüljön nyilvánosságra, és készen álljon az információk külön kivásárlására.
Ha nincs vevő hajlandó vásárolni, egyszerűen közzétesszük mindazt, amink van.

Figyelem!

Ha visszafejtésre vagy visszaküldésre van szüksége, forduljon közvetlenül hozzánk, kerülje a segítő szolgálatokkal való kommunikációt, gyakran pénzt vesznek fel és nem küldenek nekünk, ezzel biztosítva az önhibájukon kívül meghiúsult üzletet. Ezzel egyidejűleg pénzt hagyva magának, és az ügyfél értesül arról, hogy pénzt utaltak át nekünk. A sikeres üzlet garanciája csak a közvetlen kapcsolatfelvétel! Ha úgy dönt, hogy nem a saját tulajdonát kívánja tárgyalni - közvetlenül a cégtől kérhetjük a tárgyaló felhatalmazásának megerősítését. Kérjük, ne hagyja figyelmen kívül ezeket a kéréseket – különben a tárgyalások zsákutcába jutnak, és a probléma nem oldódik meg. Ne félj… Számunkra ez csak üzlet, és mindig készen állunk az udvarias és kölcsönösen előnyös kommunikációra.

Hogyan oszlik el a GoodMorninghez hasonló Ransomware?

A Ransomware terjesztése, beleértve a GoodMorning változatot is, gyakran hasonlóságokat mutat a különböző taktikákban és technikákban. Íme néhány általános terjesztési módszer:

Adathalász e-mailek:
A zsarolóprogramokat gyakran adathalász e-maileken keresztül terjesztik, amelyek rosszindulatú mellékleteket vagy hivatkozásokat tartalmaznak. A felhasználókat rávehetik egy melléklet megnyitására, amely aztán végrehajtja a ransomware-t a rendszerükön. Az e-mail legitimnek tűnhet, gyakran egy megbízható entitásnak adja ki magát.

Rosszindulatú webhelyek:
A feltört vagy rosszindulatú webhelyek látogatása zsarolóprogramok automatikus letöltéséhez és végrehajtásához vezethet. Ez megtörténhet drive-by letöltések során, amikor a rosszindulatú programokat a felhasználó tudta vagy beleegyezése nélkül töltik le.

Exploit készletek:
A kihasználó készletek a szoftverek sebezhetőségeit célozzák meg, gyakran elavult alkalmazásokban vagy böngészőkben. Amikor egy felhasználó meglátogat egy feltört webhelyet, a kizsákmányoló készlet megkeresi a sebezhetőségeket, és ransomware-t szállít, hogy kihasználja ezeket a gyengeségeket.

Rosszindulatú hirdetés:
A rosszindulatú hirdetések vagy rosszindulatú hirdetések zsarolóvírust okozhatnak, amikor a felhasználók törvényes webhelyeken feltört hirdetésekre kattintanak. Ezek a hirdetések olyan webhelyekre vezethetik a felhasználókat, amelyek kihasználó készleteket tartalmaznak, vagy közvetlenül kezdeményezik a zsarolóvírusok letöltését.

Drive-by letöltések:
A zsarolóvírusok azonnali letöltésekkel szállíthatók, amikor a felhasználó feltört vagy rosszindulatú webhelyet keres fel. A rosszindulatú program automatikusan letöltődik és a felhasználó tudta nélkül végrehajtódik.