GoodMorning Ransomware

Lors de l'examen des menaces de logiciels malveillants, les chercheurs en cybersécurité ont identifié un ransomware particulièrement redoutable appelé GoodMorning. Lors de l'infiltration d'un système, GoodMorning s'engage dans un processus de cryptage de fichiers qui affecte un large éventail de types de fichiers présents sur l'appareil ciblé. Dans le cadre de sa signature distinctive, le ransomware ajoute l'extension « .goodmorning » aux noms de fichiers originaux des fichiers cryptés. Par la suite, la menace laisse derrière elle une demande de rançon nommée « how_to_back_files.html ».

Pour illustrer la méthodologie de renommage de fichiers employée par GoodMorning, il transforme les noms de fichiers tels que « 1.png » en « 1.jpg.goodmorning » et « 2.pdf » en « 2.png.goodmorning », démontrant une modification cohérente du fichier. extensions. Il est à noter que l'analyse méticuleuse menée par des experts en cybersécurité a établi GoodMorning comme une variante au sein de la famille Globe Imposter Ransomware . Cette classification indique un lien avec une catégorie plus large de ransomwares présentant des caractéristiques et des comportements communs.

Le ransomware GoodMorning cherche à extorquer ses victimes en prenant leurs données en otage

La demande de rançon émise par GoodMorning Ransomware fait état d'une situation désastreuse, affirmant que les données vitales ont été cryptées et ne peuvent être restaurées qu'en utilisant un décrypteur. La demande de rançon précise un paiement de 1,5 BTC, soit l'équivalent de plus de 75 000 USD. Cependant, compte tenu de la nature volatile du Bitcoin, le prix exact pourrait changer radicalement dans un court laps de temps.

Des instructions sont fournies sur la façon d'acquérir du Bitcoin sur des plateformes telles que Binance ou Coinbase, et le paiement devrait être dirigé vers un portefeuille BTC spécifié, dont les détails sont fournis après avoir contacté les attaquants. L'accent est mis sur le strict respect de ces instructions, en avertissant que tout écart peut entraîner une perte irréversible de fonds.

Les coordonnées, y compris un ToxID et un lien pour télécharger TOXChat, sont également fournies aux victimes de la menace. La demande de rançon prévient que le non-respect des demandes de paiement entraînera la vente des fichiers et bases de données d'entreprise collectés à des tiers ou leur exposition au public. Les attaquants décrivent leur plan d'action si les victimes refusent de payer, impliquant l'organisation d'enchères sur les sites DarkNet pour vendre les fichiers divulgués et le contact direct avec des acheteurs potentiels pour proposer à la vente des informations compromises.

Les cybercriminels soulignent l'importance de la communication directe pour éviter les services intermédiaires susceptibles d'induire en erreur et de retenir les paiements des victimes. La note assure aux victimes que la communication directe garantit le succès des négociations et souligne un engagement envers des interactions polies et mutuellement bénéfiques.

Malgré le caractère coercitif de la demande de rançon, il est fortement déconseillé aux utilisateurs de payer la rançon en raison des risques inhérents. Les promesses des attaquants de restauration des fichiers après paiement manquent de garanties. En outre, la suppression rapide des ransomwares des systèmes compromis est considérée comme cruciale pour minimiser le risque de dommages supplémentaires, y compris un cryptage supplémentaire des fichiers.

Renforcez la sécurité de vos appareils contre les attaques de ransomwares et de logiciels malveillants

Les attaques de ransomware restent une menace persistante dans le paysage numérique, entraînant des pertes de données potentielles et des préjudices financiers pour les utilisateurs. Il est impératif de renforcer votre défense contre de telles activités dangereuses. Voici cinq mesures de sécurité essentielles que les utilisateurs peuvent mettre en œuvre sur leurs appareils pour renforcer la protection contre les attaques de ransomwares.

• Sauvegardes régulières : effectuez des sauvegardes régulières de vos données critiques sur des disques externes ou des plateformes cloud sécurisées. Dans le malheureux épisode d’une attaque de ransomware, disposer de sauvegardes à jour permet une récupération rapide sans succomber à l’extorsion.
• Mises à jour logicielles : gardez votre système d'exploitation, vos logiciels de sécurité et vos applications à jour. Les mises à jour en temps opportun corrigent les vulnérabilités que les ransomwares peuvent exploiter, améliorant ainsi la sécurité globale de votre appareil.
• Vigilance des e-mails : Soyez vigilant lorsque vous traitez des e-mails, en particulier ceux contenant des pièces jointes ou des liens inattendus. Les e-mails de phishing sont une méthode courante de diffusion de ransomwares. Essayez de ne pas accéder aux liens suspects et vérifiez l’authenticité des e-mails inattendus avant de prendre des mesures.
• Logiciel de sécurité de qualité : installez un logiciel anti-malware réputé. Configurez ces outils pour effectuer des analyses régulières et mettre à jour leurs bases de données de manière cohérente. Un logiciel de sécurité fiable peut détecter et contrecarrer les menaces de ransomware avant qu'elles ne compromettent votre système.
• Mesures de sécurité du réseau : renforcez la sécurité de votre réseau en utilisant des pare-feu et en mettant en œuvre des systèmes de détection/prévention des intrusions. Restreindre l'accès non autorisé à votre réseau permet d'empêcher la propagation des ransomwares au sein de votre système, en protégeant ainsi les fichiers critiques.

La mise en œuvre de ces mesures de sécurité peut améliorer considérablement la résilience de votre appareil contre les attaques de ransomwares. En combinant des mesures proactives, la vigilance des utilisateurs et les bons outils de sécurité, les utilisateurs peuvent minimiser le risque d'être victimes d'un ransomware et protéger leurs précieux actifs numériques. Restez informé, restez en sécurité.

Le texte complet de la demande de rançon déposée sur les appareils infectés par GoodMorning Ransomware est le suivant :

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'