GoodMorning Ransomware è una minaccia nonostante il nome strano

Durante l'esame di nuovi campioni di malware, abbiamo identificato una variante della famiglia di ransomware GlobeImposter, denominata GoodMorning. Una volta infiltrato nel sistema, GoodMorning avvia la crittografia dei file e aggiunge l'estensione ".goodmorning" ai nomi dei file. Genera anche una richiesta di riscatto denominata "how_to_back_files.html".

Per illustrare il processo di ridenominazione dei file, GoodMorning altera i nomi dei file come "1.jpg" in "1.jpg.goodmorning" e "2.png" in "2.png.goodmorning".

La richiesta di riscatto dichiara che tutti i dati cruciali sono stati sottoposti a crittografia e possono essere ripristinati solo tramite un decryptor. Richiede un pagamento di 1,5 BTC per la decrittazione, specificando che tale importo copre tutti i computer e server all'interno della rete aziendale.

Vengono fornite istruzioni per acquistare Bitcoin da piattaforme affidabili come Binance o Coinbase e inviare il pagamento a uno specifico portafoglio BTC, che verrà divulgato dopo aver contattato gli aggressori. Si sottolinea che deviare da queste istruzioni potrebbe comportare una perdita di fondi.

I dettagli di contatto includono un ToxID e un collegamento per scaricare TOXChat. La nota avverte che il mancato pagamento comporterà la vendita a terzi o la divulgazione pubblica degli archivi e dei database aziendali.

Nota di riscatto di Buongiorno

Il testo completo della richiesta di riscatto di GoodMorning recita come segue:

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ID tossico: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

Puoi scaricare TOXChat qui: hxxps://tox.chat/download.html

Il messaggio deve contenere il tuo ID personale! è in cima a questo documento.

Inoltre, i tuoi file e database aziendali sono stati rubati dalla tua rete. In caso di mancato pagamento ci riserviamo il diritto di venderli a terzi o di pubblicarli su siti pubblici.

COME FUNZIONA:
In caso di mancato pagamento, organizziamo un'asta su vari siti della DarkNet e proviamo a vendere i file trapelati dalla vostra rete alle parti interessate.
Successivamente, utilizziamo la posta + eventuali altri contatti dei tuoi clienti e li informiamo dell'accaduto, forse saranno interessati in modo che le informazioni non diventino di pubblico dominio e saranno pronti ad acquistare le informazioni separatamente.
Se non ci sono acquirenti disposti ad acquistare, pubblichiamo semplicemente tutto ciò che abbiamo nelle risorse pubbliche.

Attenzione!

Se hai bisogno di un decrittatore o di informazioni sulla restituzione, contattaci direttamente, evita di comunicare con i servizi di assistenza, spesso prendono denaro e non ce lo inviano, assicurando ai clienti che l'affare è fallito senza colpa loro. Allo stesso tempo, lasciando il denaro a te stesso, il cliente verrà informato che il denaro ci è stato trasferito. La garanzia di un affare di successo è solo un contatto diretto! Se decidi di negoziare in modo non proprio, possiamo richiedere la conferma dell'autorità del negoziatore direttamente alla società. Si prega di non ignorare queste richieste, altrimenti le trattative arriveranno a un vicolo cieco e il problema non verrà risolto. Non essere timido... Per noi sono solo affari e siamo sempre pronti per una comunicazione educata e reciprocamente vantaggiosa.

In che modo il ransomware è simile a GoodMorning distribuito?

La distribuzione del ransomware, inclusa la variante GoodMorning, spesso condivide somiglianze in varie tattiche e tecniche. Ecco alcuni metodi di distribuzione comuni:

E-mail di phishing:
Il ransomware viene spesso distribuito tramite e-mail di phishing che contengono allegati o collegamenti dannosi. Gli utenti potrebbero essere indotti ad aprire un allegato, che quindi esegue il ransomware sul loro sistema. L'e-mail può apparire legittima, spesso spacciandosi per un'entità attendibile.

Siti Web dannosi:
Visitare siti Web compromessi o dannosi può portare al download e all'esecuzione automatica del ransomware. Ciò può verificarsi tramite download drive-by, in cui il malware viene scaricato all'insaputa o senza il consenso dell'utente.

Kit di exploit:
I kit di exploit prendono di mira le vulnerabilità del software, spesso in applicazioni o browser obsoleti. Quando un utente visita un sito Web compromesso, l'exploit kit esegue la scansione delle vulnerabilità e fornisce il carico utile del ransomware per sfruttare queste debolezze.

Malvertising:
Pubblicità dannose, o malvertising, possono diffondere ransomware quando gli utenti fanno clic su annunci compromessi su siti Web legittimi. Questi annunci possono indirizzare gli utenti a siti Web che ospitano kit di exploit o avviare direttamente il download di ransomware.

Download guidati:
Il ransomware può essere distribuito tramite download drive-by quando un utente visita un sito Web compromesso o dannoso. Il malware viene scaricato ed eseguito automaticamente all'insaputa dell'utente.