GoodMorning Ransomware is ondanks vreemde naam een bedreiging

Tijdens het onderzoek van nieuwe malwaremonsters hebben we een variant van de GlobeImposter-ransomwarefamilie geïdentificeerd, genaamd GoodMorning. Zodra GoodMorning een systeem infiltreert, begint het met het versleutelen van de bestanden en wordt de extensie ".goodmorning" aan de bestandsnamen toegevoegd. Het genereert ook een losgeldbrief met de naam "how_to_back_files.html."

Om het hernoemen van bestanden te illustreren, verandert GoodMorning bestandsnamen zoals "1.jpg" in "1.jpg.goodmorning" en "2.png" in "2.png.goodmorning."

In de losgeldbrief staat dat alle cruciale gegevens zijn versleuteld en alleen kunnen worden hersteld via een decryptor. Het eist een betaling van 1,5 BTC voor decodering, waarbij wordt gespecificeerd dat dit bedrag alle computers en servers binnen het bedrijfsnetwerk dekt.

Er worden instructies gegeven voor het kopen van Bitcoin bij gerenommeerde platforms zoals Binance of Coinbase en het verzenden van de betaling naar een specifieke BTC-portemonnee, die openbaar zal worden gemaakt nadat contact is opgenomen met de aanvallers. Het afwijken van deze instructies wordt benadrukt omdat dit tot geldverlies kan leiden.

Contactgegevens omvatten een ToxID en een link voor het downloaden van TOXChat. In de nota wordt gewaarschuwd dat het niet betalen van de betaling ertoe zal leiden dat de bedrijfsbestanden en databases aan derden worden verkocht of openbaar worden gemaakt.

Goedemorgen losgeldbriefje

De volledige tekst van het GoodMorning-losgeldbriefje luidt als volgt:

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

Je kunt TOXChat hier downloaden: hxxps://tox.chat/download.html

Het bericht moet uw Persoonlijke ID bevatten! het staat bovenaan dit document.

Bovendien zijn uw bedrijfsbestanden en databases uit uw netwerk gestolen. In geval van niet-betaling behouden wij ons het recht voor om ze aan derden te verkopen of in openbare resouses te publiceren.

HOE HET WERKT:
Bij wanbetaling organiseren wij op diverse sites in DarkNet een veiling en proberen wij gelekte bestanden uit uw netwerk aan geïnteresseerden te verkopen.
Vervolgens gebruiken we e-mail en eventuele andere contacten van uw klanten en brengen we hen op de hoogte van wat er is gebeurd. Misschien zijn ze geïnteresseerd, zodat de informatie niet in het publieke domein terechtkomt en bereid zijn om informatie afzonderlijk uit te kopen.
Als er geen kopers zijn die willen kopen, publiceren we gewoon alles wat we hebben in publieke bronnen.

Aandacht!

Als u een decryptor nodig heeft of informatie wilt retourneren, neem dan rechtstreeks contact met ons op. Vermijd communicatie met hulpdiensten. Zij nemen vaak geld aan en sturen het niet naar ons, waardoor klanten verzekerd zijn dat de transactie buiten hun schuld is mislukt. Tegelijkertijd laat u geld aan uzelf over en wordt de klant geïnformeerd dat het geld naar ons is overgemaakt. De garantie voor een succesvolle deal is alleen een direct contact! Als u besluit om niet zelf te onderhandelen, kunnen wij rechtstreeks bij het bedrijf om bevestiging van de onderhandelaarsbevoegdheid vragen. Negeer deze verzoeken alstublieft niet, anders komen de onderhandelingen in een impasse terecht en kan het probleem niet worden opgelost. Schroom niet... Het zijn voor ons gewoon zaken en we staan altijd klaar voor beleefde en wederzijds voordelige communicatie.

Hoe wordt ransomware verspreid, vergelijkbaar met GoodMorning?

De distributie van Ransomware, inclusief de GoodMorning-variant, vertoont vaak overeenkomsten in verschillende tactieken en technieken. Hier zijn enkele veelgebruikte distributiemethoden:

Phishing-e-mails:
Ransomware wordt vaak verspreid via phishing-e-mails die kwaadaardige bijlagen of links bevatten. Gebruikers kunnen worden misleid om een bijlage te openen, die vervolgens de ransomware op hun systeem uitvoert. De e-mail kan legitiem lijken en doet zich vaak voor als een vertrouwde entiteit.

Kwaadwillige websites:
Het bezoeken van gecompromitteerde of kwaadaardige websites kan leiden tot het automatisch downloaden en uitvoeren van ransomware. Dit kan gebeuren via drive-by downloads, waarbij malware wordt gedownload zonder medeweten of toestemming van de gebruiker.

Exploitkits:
Exploitkits richten zich op kwetsbaarheden in software, vaak in verouderde applicaties of browsers. Wanneer een gebruiker een gecompromitteerde website bezoekt, scant de exploitkit op kwetsbaarheden en levert de ransomware-payload om deze zwakke punten te misbruiken.

Malvertising:
Schadelijke advertenties, of malvertising, kunnen ransomware afgeven wanneer gebruikers op gecompromitteerde advertenties op legitieme websites klikken. Deze advertenties kunnen gebruikers naar websites leiden die exploitkits hosten of rechtstreeks het downloaden van ransomware initiëren.

Drive-by-downloads:
Ransomware kan worden geleverd via drive-by downloads wanneer een gebruiker een gecompromitteerde of kwaadaardige website bezoekt. De malware wordt automatisch gedownload en uitgevoerd zonder medeweten van de gebruiker.