尽管名字很奇怪，但 GoodMorning 勒索软件仍然是一种威胁

在检查新的恶意软件样本时，我们发现了 GlobeImposter 勒索软件家族的一个变种，名为 GoodMorning。一旦渗透到系统中，GoodMorning 就会开始对文件进行加密，并将“.goodmorning”扩展名附加到文件名中。它还会生成名为“how_to_back_files.html”的勒索字条。

为了说明文件重命名过程，GoodMorning 将文件名更改为“1.jpg”至“1.jpg.goodmorning”，“2.png”更改为“2.png.goodmorning”。

勒索信声称所有关键数据都经过加密，只能通过解密器恢复。它要求支付 1.5 BTC 进行解密，并指定该金额涵盖公司网络内的所有计算机和服务器。

提供了从 Binance 或 Coinbase 等信誉良好的平台购买比特币并将付款发送到特定 BTC 钱包的说明，该钱包将在联系攻击者后披露。强调偏离这些指示，因为这可能会导致资金损失。

联系方式包括 ToxID 和下载 TOXChat 的链接。该说明警告说，未能付款将导致公司文件和数据库被出售给第三方或公开披露。

早安勒索信

GoodMorning勒索信全文如下：

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

毒物ID：CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

您可以在这里下载 TOXChat：hxxps://tox.chat/download.html

该消息必须包含您的个人 ID！它位于本文档的顶部。

此外，您的公司文件和数据库已从您的网络中被盗。如果未付款，我们保留将其出售给第三方或在公共资源中发布的权利。

怎么运行的：
如果不付款，我们会在暗网的各个网站上组织拍卖，并尝试将从您的网络泄露的文件出售给感兴趣的各方。
接下来，我们使用邮件+您客户的任何其他联系人，并通知他们发生了什么，也许他们会感兴趣，这样信息就不会进入公共领域，并准备好单独购买信息。
如果没有买家愿意购买，我们只需在公共资源中发布我们拥有的所有内容。

注意力！

如果您需要解密器或返回信息，请直接与我们联系，避免与帮助服务沟通，他们经常收钱而不将其发送给我们，向客户保证交易失败不是他们的过错。同时，把钱留给自己，并告知客户钱已转给我们。只有直接联系才是成功交易的保证！如果您决定不自己进行谈判 - 我们可以直接向公司要求确认谈判者的权限。请不要忽视这些要求——否则谈判将陷入僵局，问题也无法得到解决。不要害羞……这对我们来说只是生意，我们随时准备进行礼貌和互利的沟通。

勒索软件与 GoodMorning 有何相似之处？

勒索软件的分布（包括 GoodMorning 变体）通常在各种策略和技术上有相似之处。以下是一些常见的分发方式：

网络钓鱼电子邮件：
勒索软件经常通过包含恶意附件或链接的网络钓鱼电子邮件进行分发。用户可能会被诱骗打开附件，然后在其系统上执行勒索软件。该电子邮件可能看起来合法，通常冒充受信任的实体。

恶意网站：
访问受感染或恶意网站可能会导致勒索软件自动下载和执行。这可能是通过偷渡式下载发生的，即在用户不知情或未同意的情况下下载恶意软件。

漏洞利用套件：
漏洞利用工具包针对的是软件中的漏洞，通常是过时的应用程序或浏览器中的漏洞。当用户访问受感染的网站时，漏洞利用工具包会扫描漏洞并提供勒索软件有效负载以利用这些漏洞。

恶意广告：
当用户点击合法网站上受感染的广告时，恶意广告或恶意广告可能会传播勒索软件。这些广告可能会将用户引导至托管漏洞利用工具包的网站或直接启动勒索软件的下载。

路过式下载：
当用户访问受感染或恶意网站时，勒索软件可以通过偷渡式下载传播。该恶意软件会在用户不知情的情况下自动下载并执行。