GoodMorning Ransomware er en trussel til tross for merkelig navn

Under undersøkelsen av nye skadevareprøver, identifiserte vi en variant av GlobeImposter løsepengevarefamilien, kalt GoodMorning. Når du har infiltrert et system, begynner GoodMorning kryptering av filer og legger til filnavnet ".goodmorning" til filnavn. Den genererer også en løsepengenotat kalt "how_to_back_files.html."

For å illustrere prosessen med å endre navn på filen, endrer GoodMorning filnavn som "1.jpg" til "1.jpg.goodmorning" og "2.png" til "2.png.goodmorning."

Løsepengene erklærer at alle viktige data har gjennomgått kryptering og kan bare gjenopprettes gjennom en dekryptering. Den krever en betaling på 1,5 BTC for dekryptering, og spesifiserer at dette beløpet dekker alle datamaskiner og servere i bedriftsnettverket.

Instruksjoner er gitt for å kjøpe Bitcoin fra anerkjente plattformer som Binance eller Coinbase og sende betalingen til en spesifikk BTC-lommebok, som vil bli avslørt etter kontakt med angriperne. Det er vektlagt å avvike fra disse instruksjonene da det kan føre til tap av midler.

Kontaktdetaljer inkluderer en ToxID og en lenke for nedlasting av TOXChat. Notatet advarer om at manglende betaling vil føre til at bedriftsfilene og databasene enten selges til tredjeparter eller offentliggjøres.

Godmorgen løsepengenotat

Den fullstendige teksten til GoodMorning løsepenger lyder som følger:

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

Du kan laste ned TOXChat her: hxxps://tox.chat/download.html

Meldingen må inneholde din personlige ID! det er øverst i dette dokumentet.

Dessuten har bedriftsfilene og databasene dine blitt stjålet fra nettverket ditt. I tilfelle manglende betaling forbeholder vi oss retten til å selge dem til tredjeparter eller publisere dem i offentlige gjenbruk.

HVORDAN DET FUNGERER:
Ved manglende betaling arrangerer vi en auksjon på ulike nettsteder i DarkNet og prøver å selge filer lekket fra nettverket ditt til interesserte parter.
Deretter bruker vi e-post + eventuelle andre kontakter til kundene dine, og varsler dem om hva som skjedde, kanskje de vil være interessert slik at informasjon ikke kommer til offentlig domene og vil være klare til å kjøpe ut informasjon separat.
Hvis det ikke er noen kjøpere som er villige til å kjøpe, publiserer vi rett og slett alt vi har i offentlige ressurser.

Merk følgende!

Hvis du trenger en dekryptering eller returinformasjon, vennligst kontakt oss direkte, unngå å kommunisere med hjelpetjenester, de tar ofte penger og sender dem ikke til oss, og forsikrer kundene om at handelen mislyktes uten deres skyld. Samtidig, overlater penger til deg selv, og klienten blir informert om at penger ble overført til oss. Garantien for en vellykket avtale er kun en direkte kontakt! Hvis du bestemmer deg for å forhandle ikke eier - kan vi be om bekreftelse av forhandlerens fullmakt direkte fra selskapet. Vennligst ikke ignorer disse forespørslene - ellers vil forhandlingene havne i en blindgate og problemet vil ikke bli løst. Ikke sjenert... Det er bare business for oss, og vi er alltid klare for høflig og gjensidig fordelaktig kommunikasjon.

Hvordan er ransomware lik GoodMorning distribuert?

Distribusjonen av Ransomware, inkludert GoodMorning-varianten, deler ofte likheter i ulike taktikker og teknikker. Her er noen vanlige distribusjonsmetoder:

Phishing-e-poster:
Ransomware distribueres ofte gjennom phishing-e-poster som inneholder ondsinnede vedlegg eller lenker. Brukere kan bli lurt til å åpne et vedlegg, som deretter kjører løsepengevaren på systemet deres. E-posten kan virke legitim, og utgir seg ofte for å være en pålitelig enhet.

Ondsinnede nettsteder:
Å besøke kompromitterte eller ondsinnede nettsteder kan føre til automatisk nedlasting og kjøring av løsepengeprogramvare. Dette kan skje gjennom drive-by-nedlastinger, der malware lastes ned uten brukerens viten eller samtykke.

Utnyttelsessett:
Utnyttelsessett retter seg mot sårbarheter i programvare, ofte i utdaterte applikasjoner eller nettlesere. Når en bruker besøker et kompromittert nettsted, skanner utnyttelsessettet etter sårbarheter og leverer løsepengelasten for å utnytte disse svakhetene.

Malvertising:
Ondsinnede annonser, eller malvertising, kan levere løsepengevare når brukere klikker på kompromitterte annonser på legitime nettsteder. Disse annonsene kan føre brukere til nettsteder som er vert for utnyttelsessett eller starte nedlasting av løsepengevare direkte.

Drive-by-nedlastinger:
Ransomware kan leveres gjennom drive-by-nedlastinger når en bruker besøker et kompromittert eller ondsinnet nettsted. Skadevaren lastes ned og kjøres automatisk uten brukerens viten.