„GoodMorning Ransomware“ yra grėsmė, nepaisant keisto pavadinimo

Nagrinėdami naujus kenkėjiškų programų pavyzdžius, nustatėme GlobeImposter išpirkos reikalaujančių programų šeimos variantą, pavadintą GoodMorning. Patekusi į sistemą, „GoodMorning“ pradeda failų šifravimą ir prie failų pavadinimų prideda „.goodmorning“ plėtinį. Ji taip pat sugeneruoja išpirkos raštelį pavadinimu „how_to_back_files.html“.

Siekdama iliustruoti failų pervadinimo procesą, GoodMorning pakeičia failų pavadinimus, pvz., „1.jpg“ į „1.jpg.goodmorning“ ir „2.png“ į „2.png.goodmorning“.

Išpirkos raštelyje teigiama, kad visi svarbūs duomenys buvo užšifruoti ir juos galima atkurti tik naudojant iššifravimo priemonę. Ji reikalauja sumokėti 1,5 BTC už iššifravimą, nurodant, kad ši suma apima visus kompiuterius ir serverius įmonės tinkle.

Pateikiamos instrukcijos, kaip įsigyti Bitcoin iš patikimų platformų, tokių kaip Binance ar Coinbase, ir išsiųsti mokėjimą į konkrečią BTC piniginę, kuri bus atskleista susisiekus su užpuolikais. Nukrypimas nuo šių nurodymų pabrėžiamas, nes gali būti prarastos lėšos.

Kontaktinė informacija apima ToxID ir nuorodą TOXChat atsisiųsti. Pastaboje įspėjama, kad neatlikus mokėjimo įmonės failai ir duomenų bazės bus parduodami trečiosioms šalims arba bus atskleisti viešai.

Good Morning Ransom Note

Visas „Good Morning“ išpirkos rašto tekstas skamba taip:

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

TOXChat galite atsisiųsti čia: hxxps://tox.chat/download.html

Pranešime turi būti jūsų asmens kodas! jis yra šio dokumento viršuje.

Be to, jūsų įmonės failai ir duomenų bazės buvo pavogti iš jūsų tinklo. Nemokėjimo atveju pasiliekame teisę juos parduoti trečiosioms šalims arba paskelbti viešose svetainėse.

KAIP TAI VEIKIA:
Nemokėjimo atveju organizuojame aukcioną įvairiose „DarkNet“ svetainėse ir stengiamės parduoti iš jūsų tinklo nutekėjusius failus suinteresuotoms šalims.
Toliau naudojame paštą + bet kokius kitus Jūsų klientų kontaktus ir informuojame apie tai, kas atsitiko, galbūt jie susidomės, kad informacija nepatektų į viešumą ir bus pasiruošę informaciją išpirkti atskirai.
Jei neatsiranda pirkėjų, norinčių pirkti, viską, ką turime, tiesiog skelbiame viešuosiuose šaltiniuose.

Dėmesio!

Jeigu jums reikia iššifruotojo ar grąžinti informaciją, susisiekite su mumis tiesiogiai, nebendraukite su pagalbinėmis tarnybomis, jos dažnai ima pinigus ir jų mums nesiunčia, patikindami klientus, kurie nepavyko ne dėl jų kaltės. Tuo pačiu paliekant pinigus sau ir klientui pranešama, kad pinigai mums buvo pervesti. Sėkmingų sandorių garantija – tik tiesioginis kontaktas! Jei nuspręsite derėtis ne savo – galime paprašyti derybininko įgaliojimų patvirtinimo tiesiogiai iš įmonės. Neignoruokite šių prašymų – antraip derybos pateks į aklavietę ir problema nebus išspręsta. Nesidrovėkite... Mums tai tik verslas ir mes visada pasiruošę mandagiam ir abipusiai naudingam bendravimui.

Kaip „Ransomware“ yra panaši į „GoodMorning“?

Ransomware platinimas, įskaitant GoodMorning variantą, dažnai turi panašumų įvairiomis taktikomis ir technikomis. Štai keletas bendrų platinimo būdų:

Sukčiavimo el. laiškai:
Išpirkos reikalaujančios programos dažnai platinamos per sukčiavimo el. laiškus, kuriuose yra kenkėjiškų priedų ar nuorodų. Vartotojai gali būti apgauti atidaryti priedą, kuris vėliau paleidžia išpirkos reikalaujančią programinę įrangą jų sistemoje. El. laiškas gali atrodyti teisėtas, dažnai apsimetinėjančiu patikimu subjektu.

Kenkėjiškos svetainės:
Lankantis pažeistose ar kenkėjiškose svetainėse gali būti automatiškai atsisiunčiama ir vykdoma išpirkos reikalaujanti programinė įranga. Tai gali įvykti atsisiunčiant automatiškai, kai kenkėjiška programa atsisiunčiama be vartotojo žinios ar sutikimo.

Išnaudojimo rinkiniai:
Išnaudojimo rinkiniai nukreipia į programinės įrangos, dažnai pasenusių programų ar naršyklių, pažeidžiamumą. Kai vartotojas apsilanko pažeistoje svetainėje, išnaudojimo rinkinys nuskaito pažeidžiamumą ir pateikia išpirkos reikalaujančią programinę įrangą, kad išnaudotų šias silpnybes.

Klaidinga reklama:
Kenkėjiškos reklamos arba kenkėjiška reklama gali pateikti išpirkos reikalaujančias programas, kai naudotojai spusteli pažeistus skelbimus teisėtose svetainėse. Šie skelbimai gali nukreipti vartotojus į svetaines, kuriose yra išnaudojimo rinkiniai arba tiesiogiai pradėti išpirkos reikalaujančios programos atsisiuntimą.

„Drive-by“ atsisiuntimai:
Išpirkos reikalaujanti programinė įranga gali būti pristatyta automatiškai atsisiunčiant, kai vartotojas apsilanko pažeistoje ar kenkėjiškoje svetainėje. Kenkėjiška programa automatiškai atsisiunčiama ir vykdoma be vartotojo žinios.