Программа-вымогатель GoodMorning — угроза, несмотря на странное название

В ходе проверки новых образцов вредоносного ПО мы выявили вариант семейства вымогателей GlobeImposter под названием GoodMorning. После проникновения в систему GoodMorning начинает шифрование файлов и добавляет к именам файлов расширение «.goodmorning». Он также генерирует записку о выкупе с именем «how_to_back_files.html».

Чтобы проиллюстрировать процесс переименования файлов, GoodMorning изменяет такие имена файлов, как «1.jpg» на «1.jpg.goodmorning» и «2.png» на «2.png.goodmorning».

В записке о выкупе говорится, что все важные данные были зашифрованы и могут быть восстановлены только с помощью дешифратора. За расшифровку он требует оплату в размере 1,5 BTC, уточняя, что эта сумма покрывает все компьютеры и серверы внутри корпоративной сети.

Предоставляются инструкции по покупке биткойнов на авторитетных платформах, таких как Binance или Coinbase, и отправке платежа на конкретный кошелек BTC, который будет раскрыт после контакта с злоумышленниками. Подчеркивается, что отклонение от этих инструкций может привести к потере средств.

Контактные данные включают ToxID и ссылку для загрузки TOXChat. В примечании предупреждается, что неуплата платежа приведет к тому, что корпоративные файлы и базы данных будут либо проданы третьим лицам, либо обнародованы.

Доброе утро, записка о выкупе

Полный текст записки о выкупе GoodMorning выглядит следующим образом:

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

Вы можете скачать TOXChat здесь: hxxps://tox.chat/download.html.

Сообщение должно содержать Ваш Персональный ID! он находится вверху этого документа.

Кроме того, ваши корпоративные файлы и базы данных были украдены из вашей сети. В случае неуплаты мы оставляем за собой право продать их третьим лицам или опубликовать в публичных ресурсах.

КАК ЭТО РАБОТАЕТ:
В случае неуплаты мы организуем аукцион на различных площадках в Даркнете и стараемся продать файлы, утекшие из вашей сети, заинтересованным лицам.
Далее используем почту + любые другие контакты ваших клиентов, и оповещаем их о произошедшем, возможно они заинтересуются, чтобы информация не попала в открытый доступ и будут готовы выкупить информацию отдельно.
Если желающих купить нет, мы просто публикуем все, что у нас есть, в публичных ресурсах.

Внимание!

Если вам нужна расшифровка или возврат информации, обращайтесь напрямую к нам, избегайте общения со службами-помощниками, они часто берут деньги и не отправляют их нам, уверяя клиентов, что сделка сорвалась не по их вине. При этом деньги оставляют себе, а клиенту сообщают, что деньги были переведены нам. Гарантией успешной сделки является только прямой контакт! Если вы решили вести переговоры не самостоятельно – мы можем запросить подтверждение полномочий переговорщика напрямую у компании. Пожалуйста, не игнорируйте эти просьбы - иначе переговоры зайдут в тупик и проблема не будет решена. Не стесняйтесь… Для нас это просто бизнес и мы всегда готовы к вежливому и взаимовыгодному общению.

Чем распространяется программа-вымогатель, похожая на GoodMorning?

Распространение программ-вымогателей, включая вариант GoodMorning, часто имеет сходство в различных тактиках и методах. Вот некоторые распространенные методы распространения:

Фишинговые письма:
Программы-вымогатели часто распространяются через фишинговые электронные письма, содержащие вредоносные вложения или ссылки. Пользователей могут обманом заставить открыть вложение, которое затем запускает программу-вымогатель в их системе. Электронное письмо может выглядеть законным, часто выдавая себя за доверенное лицо.

Вредоносные веб-сайты:
Посещение взломанных или вредоносных веб-сайтов может привести к автоматической загрузке и запуску программы-вымогателя. Это может произойти при попутных загрузках, когда вредоносное ПО загружается без ведома или согласия пользователя.

Наборы эксплойтов:
Наборы эксплойтов нацелены на уязвимости в программном обеспечении, часто в устаревших приложениях или браузерах. Когда пользователь посещает взломанный веб-сайт, набор эксплойтов сканирует его на наличие уязвимостей и доставляет программу-вымогатель для использования этих уязвимостей.

Вредоносная реклама:
Вредоносная реклама или вредоносная реклама может распространять программы-вымогатели, когда пользователи нажимают на скомпрометированные объявления на законных веб-сайтах. Эти объявления могут привести пользователей на веб-сайты, на которых размещены наборы эксплойтов, или напрямую инициировать загрузку программ-вымогателей.

Загрузки по ходу дела:
Программы-вымогатели могут распространяться посредством попутных загрузок, когда пользователь посещает взломанный или вредоносный веб-сайт. Вредоносная программа автоматически загружается и запускается без ведома пользователя.