GoodMorning Ransomware är ett hot trots konstigt namn

Under granskningen av nya prover av skadlig programvara identifierade vi en variant av GlobeImposter ransomware-familjen, som heter GoodMorning. När GoodMorning väl har infiltrerat ett system, börjar krypteringen av filerna och lägger till filnamnstillägget ".goodmorning". Den genererar också en lösenseddel med namnet "how_to_back_files.html."

För att illustrera processen för filbyte ändrar GoodMorning filnamn som "1.jpg" till "1.jpg.goodmorning" och "2.png" till "2.png.goodmorning."

Lösenedeln förklarar att all viktig data har genomgått kryptering och endast kan återställas genom en dekryptering. Den kräver en betalning på 1,5 BTC för dekryptering, och specificerar att detta belopp täcker alla datorer och servrar inom företagets nätverk.

Instruktioner tillhandahålls för att köpa Bitcoin från välrenommerade plattformar som Binance eller Coinbase och skicka betalningen till en specifik BTC-plånbok, som kommer att avslöjas efter kontakt med angriparna. Att avvika från dessa instruktioner betonas eftersom det kan leda till förlust av medel.

Kontaktuppgifter inkluderar ett ToxID och en länk för nedladdning av TOXChat. Noteringen varnar för att underlåtenhet att göra betalningen kommer att leda till att företagsfilerna och databaserna antingen säljs till tredje part eller offentliggörs.

Godmorgon lösensumma

Den fullständiga texten i GoodMorning lösennotan lyder som följer:

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

Du kan ladda ner TOXChat här: hxxps://tox.chat/download.html

Meddelandet måste innehålla ditt personliga ID! det är överst i detta dokument.

Dessutom har dina företagsfiler och databaser stulits från ditt nätverk. I händelse av utebliven betalning förbehåller vi oss rätten att sälja dem till tredje part eller publicera dem i offentliga återanvändningar.

HUR DET FUNGERAR:
Vid utebliven betalning anordnar vi en auktion på olika sajter i DarkNet och försöker sälja filer som läckt från ditt nätverk till intresserade parter.
Därefter använder vi e-post + eventuella andra kontakter till dina kunder och informerar dem om vad som hänt, kanske kommer de att vara intresserade så att information inte hamnar i allmän egendom och är redo att köpa ut information separat.
Om det inte finns några köpare som är villiga att köpa, publicerar vi helt enkelt allt som vi har i offentliga resurser.

Uppmärksamhet!

Om du behöver en dekryptering eller returneringsinformation, vänligen kontakta oss direkt, undvik att kommunicera med hjälpartjänster, de tar ofta pengar och skickar dem inte till oss, vilket försäkrar kunderna att affären misslyckades utan deras fel. Samtidigt lämnar pengar till dig själv och klienten informeras om att pengar överfördes till oss. Garantin för en framgångsrik affär är endast en direktkontakt! Om du bestämmer dig för att förhandla inte äger - kan vi begära bekräftelse på förhandlarens behörighet direkt från företaget. Vänligen ignorera inte dessa förfrågningar - annars kommer förhandlingarna att hamna i ett återvändsgränd och problemet kommer inte att lösas. Var inte blyg... Det är bara affärer för oss och vi är alltid redo för artig och ömsesidigt fördelaktig kommunikation.

Hur liknar ransomware GoodMorning?

Distributionen av Ransomware, inklusive GoodMorning-varianten, delar ofta likheter i olika taktiker och tekniker. Här är några vanliga distributionsmetoder:

Nätfiske-e-postmeddelanden:
Ransomware distribueras ofta genom nätfiske-e-postmeddelanden som innehåller skadliga bilagor eller länkar. Användare kan luras att öppna en bilaga, som sedan kör ransomware på deras system. E-postmeddelandet kan verka legitimt, ofta efterlikna en betrodd enhet.

Skadliga webbplatser:
Att besöka komprometterade eller skadliga webbplatser kan leda till automatisk nedladdning och körning av ransomware. Detta kan ske genom drive-by-nedladdningar, där skadlig programvara laddas ner utan användarens vetskap eller samtycke.

Exploateringssatser:
Exploatpaket riktar sig mot sårbarheter i programvara, ofta i föråldrade applikationer eller webbläsare. När en användare besöker en komprometterad webbplats söker exploateringssatsen efter sårbarheter och levererar nyttolasten för ransomware för att utnyttja dessa svagheter.

Malvertising:
Skadliga annonser, eller malvertising, kan leverera ransomware när användare klickar på komprometterade annonser på legitima webbplatser. Dessa annonser kan leda användare till webbplatser som är värd för exploateringssatser eller initierar nedladdning av ransomware direkt.

Drive-by-nedladdningar:
Ransomware kan levereras genom drive-by-nedladdningar när en användare besöker en komprometterad eller skadlig webbplats. Skadlig programvara laddas ner och körs automatiskt utan användarens vetskap.