GoodMorning Ransomware é uma ameaça apesar do nome estranho

Durante a análise de novas amostras de malware, identificamos uma variante da família de ransomware GlobeImposter, chamada GoodMorning. Depois de se infiltrar no sistema, GoodMorning inicia a criptografia dos arquivos e anexa a extensão ".goodmorning" aos nomes dos arquivos. Ele também gera uma nota de resgate chamada "how_to_back_files.html".

Para ilustrar o processo de renomeação de arquivos, GoodMorning altera nomes de arquivos como “1.jpg” para “1.jpg.goodmorning” e “2.png” para “2.png.goodmorning”.

A nota de resgate declara que todos os dados cruciais foram criptografados e só podem ser restaurados através de um descriptografador. Exige um pagamento de 1,5 BTC pela descriptografia, especificando que esse valor cobre todos os computadores e servidores da rede corporativa.

São fornecidas instruções para comprar Bitcoin de plataformas confiáveis como Binance ou Coinbase e enviar o pagamento para uma carteira BTC específica, que será divulgada após contato com os invasores. O desvio destas instruções é enfatizado, pois pode resultar em perda de fundos.

Os detalhes de contato incluem um ToxID e um link para baixar o TOXChat. A nota alerta que o não pagamento resultará na venda dos arquivos e bancos de dados corporativos a terceiros ou na divulgação pública.

Nota de resgate de bom dia

O texto completo da nota de resgate do GoodMorning é o seguinte:

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

Você pode baixar o TOXChat aqui: hxxps://tox.chat/download.html

A mensagem deve conter seu ID pessoal! está no topo deste documento.

Além disso, seus arquivos e bancos de dados corporativos foram roubados de sua rede. Em caso de não pagamento, reservamo-nos o direito de vendê-los a terceiros ou publicá-los em órgãos públicos.

COMO FUNCIONA:
Em caso de falta de pagamento, organizamos um leilão em diversos sites da DarkNet e tentamos vender os arquivos vazados da sua rede aos interessados.
A seguir, utilizamos mail + quaisquer outros contatos de seus clientes, e avisamos o ocorrido, talvez eles se interessem para que as informações não caiam em domínio público e estejam prontos para adquirir as informações separadamente.
Se não há compradores dispostos a comprar, simplesmente publicamos tudo o que temos em recursos públicos.

Atenção!

Se precisar de um descriptografador ou devolver informações, entre em contato conosco diretamente, evite se comunicar com serviços auxiliares, eles muitas vezes aceitam dinheiro e não nos enviam, garantindo aos clientes que o negócio falhou sem culpa deles. Ao mesmo tempo, deixando o dinheiro para si, o cliente é informado de que o dinheiro foi transferido para nós. A garantia de negócios de sucesso é apenas um contato direto! Se você decidir negociar por conta própria, podemos solicitar a confirmação da autoridade do negociador diretamente da empresa. Por favor, não ignore estes pedidos - caso contrário as negociações chegarão a um impasse e o problema não será resolvido. Não tenha vergonha… São apenas negócios para nós e estamos sempre prontos para uma comunicação educada e mutuamente benéfica.

Como o ransomware é semelhante ao GoodMorning distribuído?

A distribuição de Ransomware, incluindo a variante GoodMorning, muitas vezes compartilha semelhanças em várias táticas e técnicas. Aqui estão alguns métodos de distribuição comuns:

E-mails de phishing:
O ransomware é frequentemente distribuído através de e-mails de phishing que contêm anexos ou links maliciosos. Os usuários podem ser induzidos a abrir um anexo, que então executa o ransomware em seus sistemas. O e-mail pode parecer legítimo, muitas vezes representando uma entidade confiável.

Websites maliciosos:
Visitar sites comprometidos ou maliciosos pode levar ao download e execução automáticos de ransomware. Isso pode ocorrer através de downloads drive-by, onde o malware é baixado sem o conhecimento ou consentimento do usuário.

Kits de exploração:
Os kits de exploração visam vulnerabilidades em software, geralmente em aplicativos ou navegadores desatualizados. Quando um usuário visita um site comprometido, o kit de exploração verifica vulnerabilidades e entrega a carga útil do ransomware para explorar essas vulnerabilidades.

Malvertising:
Anúncios maliciosos, ou malvertising, podem fornecer ransomware quando os usuários clicam em anúncios comprometidos em sites legítimos. Esses anúncios podem levar os usuários a sites que hospedam kits de exploração ou iniciam o download de ransomware diretamente.

Downloads drive-by:
O ransomware pode ser entregue por meio de downloads drive-by quando um usuário visita um site comprometido ou malicioso. O malware é baixado e executado automaticamente sem o conhecimento do usuário.