GoodMorning ランサムウェアは奇妙な名前にもかかわらず脅威です
新しいマルウェア サンプルの検査中に、GoodMorning という名前の GlobeImposter ランサムウェア ファミリの亜種を特定しました。システムに侵入すると、GoodMorning はファイルの暗号化を開始し、ファイル名に「.goodMorning」拡張子を追加します。また、「how_to_back_files.html」という名前の身代金メモも生成されます。
ファイルの名前変更プロセスを説明すると、GoodMorning は「1.jpg」を「1.jpg.goodMorning」に、「2.png」を「2.png.goodMorning」に変更します。
身代金メモでは、重要なデータはすべて暗号化されており、復号化ツールを介してのみ復元できると宣言されています。復号化には 1.5 BTC の支払いを要求しており、この金額が企業ネットワーク内のすべてのコンピューターとサーバーをカバーすると指定しています。
Binance や Coinbase などの信頼できるプラットフォームからビットコインを購入し、特定の BTC ウォレットに支払いを送信するための手順が提供されています。このウォレットは攻撃者との接触後に公開されます。これらの指示に従わない場合は、資金の損失につながる可能性があることが強調されています。
連絡先の詳細には、ToxID と TOXChat をダウンロードするためのリンクが含まれます。このメモは、支払いが行われない場合、企業のファイルとデータベースが第三者に売却されるか、一般に公開される可能性があると警告しています。
グッドモーニング身代金メモ
GoodMorning 身代金メモの全文は次のとおりです。
YOUR PERSONAL ID
ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )
Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trustBTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.
Our contact:
ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D
TOXChatはここからダウンロードできます: hxxps://tox.chat/download.html
メッセージには個人 ID が含まれている必要があります。この文書の先頭にあります。
また、企業のファイルやデータベースがネットワークから盗まれています。支払いがない場合、当社はそれらを第三者に販売するか、公共のリソースで公開する権利を留保します。
使い方:
未払いの場合は、DarkNet のさまざまなサイトでオークションを開催し、ネットワークから漏洩したファイルを関係者に販売しようとします。
次に、メールとクライアントのその他の連絡先を使用して、何が起こったのかをクライアントに通知します。おそらくクライアントは、情報がパブリックドメインにならないように興味を持ち、情報を個別に購入する準備ができているでしょう。
購入意欲のある買い手がいない場合は、私たちが持っているすべてのものを公開リソースで公開するだけです。注意!
復号化ツールや返品情報が必要な場合は、直接当社にご連絡ください。ヘルパー サービスとの通信は避けてください。ヘルパー サービスは多くの場合、金銭を受け取り、当社に送金しません。取引が失敗した顧客には、自分の過失ではないことを保証します。同時に、お金を自分に残し、クライアントはお金が私たちに送金されたことを知らされます。取引の成功を保証するには、直接連絡する必要があります。所有権を持たずに交渉することを決定した場合、当社は交渉者の権限の確認を会社に直接要求することができます。これらの要求を無視しないでください。無視しないと交渉が行き詰まり、問題は解決されません。恥ずかしがらないでください…これは私たちにとって単なるビジネスであり、私たちは常に丁寧で相互に有益なコミュニケーションを行う準備ができています。
ランサムウェアはどのように GoodMorning に似て配布されているのでしょうか?
GoodMorning 亜種を含むランサムウェアの配布には、さまざまな戦術やテクニックが類似していることがよくあります。一般的な配布方法をいくつか示します。
フィッシングメール:
ランサムウェアは、悪意のある添付ファイルやリンクを含むフィッシングメールを通じて配布されることがよくあります。ユーザーはだまされて添付ファイルを開かせると、システム上でランサムウェアが実行される可能性があります。電子メールは正規のもののように見える場合があり、信頼できる組織になりすましていることがよくあります。
悪意のある Web サイト:
侵害された Web サイトや悪意のある Web サイトにアクセスすると、ランサムウェアが自動的にダウンロードされ、実行される可能性があります。これは、ユーザーの認識や同意なしにマルウェアがダウンロードされるドライブバイ ダウンロードによって発生する可能性があります。
エクスプロイト キット:
エクスプロイト キットは、ソフトウェア (多くの場合、古いアプリケーションやブラウザ) の脆弱性をターゲットとしています。ユーザーが侵害された Web サイトにアクセスすると、エクスプロイト キットは脆弱性をスキャンし、これらの弱点を悪用するランサムウェア ペイロードを配信します。
マルバタイジング:
悪意のある広告、つまりマルバタイジングにより、ユーザーが正規の Web サイト上の侵害された広告をクリックすると、ランサムウェアが配信される可能性があります。これらの広告は、エクスプロイト キットをホストする Web サイトにユーザーを誘導したり、ランサムウェアのダウンロードを直接開始したりする可能性があります。
ドライブバイダウンロード:
ランサムウェアは、ユーザーが侵害された Web サイトまたは悪意のある Web サイトにアクセスしたときに、ドライブバイ ダウンロードを通じて配信される可能性があります。マルウェアはユーザーの知らない間に自動的にダウンロードされ、実行されます。
