GoodMorning Ransomware jest zagrożeniem pomimo dziwnej nazwy

Podczas badania nowych próbek złośliwego oprogramowania zidentyfikowaliśmy wariant rodziny ransomware GlobeImposter o nazwie GoodMorning. Po infiltracji systemu GoodMorning rozpoczyna szyfrowanie plików i dodaje do nazw plików rozszerzenie „.goodmorning”. Generuje także żądanie okupu o nazwie „how_to_back_files.html”.

Aby zilustrować proces zmiany nazwy pliku, GoodMorning zmienia nazwy plików, takie jak „1.jpg” na „1.jpg.goodmorning” i „2.png” na „2.png.goodmorning”.

W żądaniu okupu znajduje się informacja, że wszystkie istotne dane zostały zaszyfrowane i można je odzyskać jedynie za pomocą narzędzia deszyfrującego. Żąda zapłaty 1,5 BTC za odszyfrowanie, precyzując, że kwota ta obejmuje wszystkie komputery i serwery w sieci korporacyjnej.

Znajdują się tam instrukcje dotyczące zakupu Bitcoina z renomowanych platform typu Binance czy Coinbase i przesłania płatności do konkretnego portfela BTC, co zostanie ujawnione po skontaktowaniu się z atakującymi. Odstępstwo od tych instrukcji jest podkreślane, ponieważ może skutkować utratą środków.

Dane kontaktowe obejmują ToxID i link do pobrania TOXChat. Notatka ostrzega, że niedokonanie płatności spowoduje, że pliki korporacyjne i bazy danych zostaną sprzedane osobom trzecim lub upublicznione.

Dzień dobry, żądanie okupu

Pełny tekst żądania okupu GoodMorning brzmi następująco:

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

Możesz pobrać TOXChat tutaj: hxxps://tox.chat/download.html

Wiadomość musi zawierać Twój dowód osobisty! znajduje się na górze tego dokumentu.

Ponadto z Twojej sieci skradziono pliki firmowe i bazy danych. W przypadku braku płatności zastrzegamy sobie prawo do ich sprzedaży osobom trzecim lub opublikowania w publicznych serwisach.

JAK TO DZIAŁA:
W przypadku braku płatności organizujemy aukcję na różnych portalach DarkNet i staramy się sprzedać zainteresowanym pliki, które wyciekły z Twojej sieci.
Następnie korzystamy z poczty + wszelkich innych kontaktów Twoich klientów i powiadamiamy ich o tym, co się wydarzyło, być może będą zainteresowani, aby informacja nie dostała się do domeny publicznej i będą gotowi osobno wykupić informacje.
Jeśli nie ma chętnych do zakupu, po prostu publikujemy wszystko, co mamy w zasobach publicznych.

Uwaga!

Jeśli potrzebujesz narzędzia do odszyfrowania lub zwrotu informacji, skontaktuj się z nami bezpośrednio, unikaj komunikowania się z usługami pomocniczymi, często biorą pieniądze i nie wysyłają ich do nas, zapewniając klientów, że transakcja nie powiodła się nie z ich winy. Jednocześnie zostawiając pieniądze dla siebie, Klient zostaje poinformowany, że pieniądze zostały do nas przekazane. Gwarancją udanej transakcji jest tylko bezpośredni kontakt! Jeśli zdecydujesz się na negocjacje nie własne - możemy poprosić o potwierdzenie uprawnień negocjatora bezpośrednio od firmy. Proszę nie ignorować tych próśb – w przeciwnym razie negocjacje utkną w impasie, a problem nie zostanie rozwiązany. Nie wstydź się… Dla nas to tylko biznes i zawsze jesteśmy gotowi na uprzejmą i korzystną dla obu stron komunikację.

W jaki sposób rozpowszechniane jest oprogramowanie ransomware podobne do GoodMorning?

Dystrybucja ransomware, w tym wariant GoodMorning, często wykazuje podobieństwa w różnych taktykach i technikach. Oto kilka typowych metod dystrybucji:

E-maile phishingowe:
Ransomware jest często dystrybuowane za pośrednictwem wiadomości e-mail phishingowych zawierających złośliwe załączniki lub łącza. Użytkownicy mogą zostać oszukani do otwarcia załącznika, co następnie uruchomi oprogramowanie ransomware w ich systemie. Wiadomość e-mail może wydawać się wiarygodna i często podszywa się pod zaufaną jednostkę.

Złośliwe strony internetowe:
Odwiedzanie zainfekowanych lub złośliwych witryn internetowych może prowadzić do automatycznego pobrania i uruchomienia oprogramowania ransomware. Może to nastąpić poprzez pobieranie typu drive-by, podczas którego pobierane jest złośliwe oprogramowanie bez wiedzy i zgody użytkownika.

Zestawy exploitów:
Zestawy exploitów wyszukują luki w oprogramowaniu, często w nieaktualnych aplikacjach lub przeglądarkach. Gdy użytkownik odwiedza zaatakowaną witrynę internetową, zestaw exploitów skanuje w poszukiwaniu luk w zabezpieczeniach i dostarcza oprogramowanie ransomware w celu wykorzystania tych luk.

Złośliwe reklamy:
Złośliwe reklamy, czyli złośliwe reklamy, mogą dostarczać oprogramowanie ransomware, gdy użytkownicy klikają zainfekowane reklamy w legalnych witrynach internetowych. Reklamy te mogą prowadzić użytkowników do witryn zawierających zestawy exploitów lub bezpośrednio inicjować pobieranie oprogramowania ransomware.

Pobieranie na miejscu:
Oprogramowanie ransomware może być dostarczane poprzez pobieranie dyskowe, gdy użytkownik odwiedza zaatakowaną lub złośliwą witrynę internetową. Szkodnik jest automatycznie pobierany i uruchamiany bez wiedzy użytkownika.