儘管名字很奇怪，但 GoodMorning 勒索軟體仍然是一種威脅

在檢查新的惡意軟體樣本時，我們發現了 GlobeImposter 勒索軟體家族的一個變種，名為 GoodMorning。一旦滲透到系統中，GoodMorning 就會開始對檔案進行加密，並將「.goodmorning」副檔名附加到檔案名稱中。它還會產生名為「how_to_back_files.html」的勒索字條。

為了說明檔案重新命名過程，GoodMorning 將檔案名稱更改為“1.jpg”至“1.jpg.goodmorning”，“2.png”更改為“2.png.goodmorning”。

勒索信聲稱所有關鍵資料都經過加密，只能透過解密器恢復。它要求支付 1.5 BTC 進行解密，並指定該金額涵蓋公司網路內的所有電腦和伺服器。

提供了從 Binance 或 Coinbase 等信譽良好的平台購買比特幣並將付款發送到特定 BTC 錢包的說明，該錢包將在聯繫攻擊者後披露。強調偏離這些指示，因為這可能會導致資金損失。

聯絡方式包括 ToxID 和下載 TOXChat 的連結。該說明警告說，未能付款將導致公司文件和資料庫出售給第三方或公開披露。

早安勒索信

GoodMorning勒索信全文如下：

YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

毒物ID：CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

您可以在這裡下載 TOXChat：hxxps://tox.chat/download.html

該訊息必須包含您的個人 ID！它位於本文檔的頂部。

此外，您的公司文件和資料庫已從您的網路中被盜。如果未付款，我們保留將其出售給第三方或在公共資源中發布的權利。

怎麼運作的：
如果不付款，我們會在暗網的各個網站上組織拍賣，並嘗試將從您的網路洩露的文件出售給有興趣的各方。
接下來，我們使用郵件+您客戶的任何其他聯絡人，並通知他們發生了什麼，也許他們會感興趣，這樣資訊就不會進入公共領域，並準備好單獨購買資訊。
如果沒有買家願意購買，我們只需在公共資源中發布我們擁有的所有內容。

注意力！

如果您需要解密器或傳回訊息，請直接與我們聯繫，避免與幫助服務溝通，他們經常收錢而不將其發送給我們，向客戶保證交易失敗不是他們的過錯。同時，把錢留給自己，並告知客戶錢已轉給我們。只有直接聯繫才是成功交易的保證！如果您決定不自己進行談判 - 我們可以直接向公司要求確認談判者的權限。請不要忽視這些要求——否則談判將陷入僵局，問題也無法解決。不要害羞……這對我們來說只是生意，我們隨時準備好進行禮貌和互利的溝通。

勒索軟體與 GoodMorning 有何相似之處？

勒索軟體的分佈（包括 GoodMorning 變體）通常在各種策略和技術上有相似之處。以下是一些常見的分發方式：

網路釣魚電子郵件：
勒索軟體經常透過包含惡意附件或連結的網路釣魚電子郵件進行分發。使用者可能會被誘騙打開附件，然後在其係統上執行勒索軟體。該電子郵件可能看起來合法，通常冒充受信任的實體。

惡意網站：
造訪受感染或惡意網站可能會導致勒索軟體自動下載和執行。這可能是透過偷渡式下載發生的，即在用戶不知情或未同意的情況下下載惡意軟體。

漏洞利用套件：
漏洞利用工具包針對的是軟體中的漏洞，通常是過時的應用程式或瀏覽器中的漏洞。當使用者造訪受感染的網站時，漏洞利用工具包會掃描漏洞並提供勒索軟體有效負載以利用這些漏洞。

惡意廣告：
當使用者點擊合法網站上受感染的廣告時，惡意廣告或惡意廣告可能會傳播勒索軟體。這些廣告可能會將使用者引導至託管漏洞利用工具包的網站或直接啟動勒索軟體的下載。

經過式下載：
當使用者造訪受感染或惡意網站時，勒索軟體可以透過偷渡式下載傳播。該惡意軟體會在使用者不知情的情況下自動下載並執行。