GoodMorning-Ransomware

Bei der Untersuchung von Malware-Bedrohungen haben Cybersicherheitsforscher eine besonders gefährliche Ransomware namens GoodMorning identifiziert. Beim Eindringen in ein System führt GoodMorning einen Prozess der Dateiverschlüsselung durch, der sich auf ein breites Spektrum an Dateitypen auswirkt, die auf dem Zielgerät vorhanden sind. Als Teil ihrer unverwechselbaren Signatur hängt die Ransomware die Erweiterung „.goodmorning“ an die ursprünglichen Dateinamen der verschlüsselten Dateien an. Anschließend hinterlässt die Bedrohung einen Lösegeldschein mit dem Namen „how_to_back_files.html“.

Um die von GoodMorning verwendete Methode zur Dateiumbenennung zu veranschaulichen, werden Dateinamen wie „1.png“ in „1.jpg.goodmorning“ und „2.pdf“ in „2.png.goodmorning“ umgewandelt, was eine konsistente Änderung der Datei demonstriert Erweiterungen. Es ist bemerkenswert, dass die sorgfältige Analyse von Cybersicherheitsexperten GoodMorning als Variante innerhalb der Globe Imposter Ransomware- Familie etabliert hat. Diese Klassifizierung weist auf eine Verbindung zu einer breiteren Kategorie von Ransomware mit gemeinsamen Merkmalen und Verhaltensweisen hin.

Die GoodMorning-Ransomware versucht, ihre Opfer zu erpressen, indem sie ihre Daten als Geiseln nimmt

Der von der GoodMorning Ransomware ausgestellte Lösegeldschein kommuniziert eine schlimme Situation und behauptet, dass wichtige Daten verschlüsselt wurden und nur durch die Verwendung eines Entschlüsselers wiederhergestellt werden können. Die Lösegeldforderung sieht eine Zahlung von 1,5 BTC vor, was über 75.000 USD entspricht. Angesichts der Volatilität von Bitcoin könnte sich der genaue Preis jedoch in kurzer Zeit drastisch ändern.

Es werden Anweisungen zum Erwerb von Bitcoin von Plattformen wie Binance oder Coinbase bereitgestellt, und die Zahlung wird voraussichtlich an eine bestimmte BTC-Wallet weitergeleitet, deren Einzelheiten nach Kontaktaufnahme mit den Angreifern bekannt gegeben werden. Der Schwerpunkt liegt auf der strikten Einhaltung dieser Anweisungen und es wird darauf hingewiesen, dass jede Abweichung zu einem irreversiblen Verlust von Geldern führen kann.

Den Opfern der Bedrohung werden auch Kontaktdaten, einschließlich einer ToxID und eines Links zum Herunterladen von TOXChat, zur Verfügung gestellt. Der Lösegeldschein warnt davor, dass die Nichteinhaltung der Zahlungsaufforderungen zum Verkauf der gesammelten Unternehmensdateien und Datenbanken an Dritte oder zu deren Offenlegung an die Öffentlichkeit führen wird. Die Angreifer beschreiben ihre Vorgehensweise, wenn Opfer die Zahlung verweigern. Dazu gehört die Organisation von Auktionen auf DarkNet-Seiten, um geleakte Dateien zu verkaufen, und die direkte Kontaktaufnahme mit potenziellen Käufern, um kompromittierte Informationen zum Verkauf anzubieten.

Die Cyberkriminellen betonen die Bedeutung der direkten Kommunikation, um Vermittlungsdienste zu vermeiden, die die Opfer irreführen und Zahlungen von ihnen einbehalten könnten. Die Notiz versichert den Opfern, dass direkte Kommunikation erfolgreiche Verhandlungen gewährleistet und unterstreicht die Verpflichtung zu höflichen und für beide Seiten vorteilhaften Interaktionen.

Trotz des Zwangscharakters des Lösegeldscheins werden Benutzer aufgrund der damit verbundenen Risiken dringend davon abgeraten, das Lösegeld zu zahlen. Den Versprechen der Angreifer, die Dateien bei Zahlung wiederherzustellen, mangelt es an Garantien. Darüber hinaus wird die sofortige Entfernung von Ransomware aus kompromittierten Systemen als entscheidend hervorgehoben, um das Potenzial für weiteren Schaden, einschließlich zusätzlicher Dateiverschlüsselung, zu minimieren.

Erhöhen Sie die Sicherheit Ihrer Geräte vor Ransomware- und Malware-Angriffen

Ransomware-Angriffe stellen weiterhin eine anhaltende Bedrohung in der digitalen Landschaft dar und können zu potenziellen Datenverlusten und finanziellen Schäden für Benutzer führen. Es ist unerlässlich, Ihren Schutz gegen solche unsicheren Aktivitäten zu stärken. Hier sind fünf wesentliche Sicherheitsmaßnahmen, die Benutzer auf ihren Geräten implementieren können, um den Schutz vor Ransomware-Angriffen zu erhöhen.

• Regelmäßige Backups : Führen Sie regelmäßige Backups Ihrer kritischen Daten auf externen Laufwerken oder sicheren Cloud-Plattformen durch. Im unglücklichen Fall eines Ransomware-Angriffs ermöglichen aktuelle Backups eine schnelle Wiederherstellung, ohne der Erpressung zum Opfer zu fallen.
• Software-Updates : Halten Sie Ihr Betriebssystem, Ihre Sicherheitssoftware und Ihre Anwendungen auf dem neuesten Stand. Durch rechtzeitige Updates werden Schwachstellen behoben, die von Ransomware ausgenutzt werden können, wodurch die allgemeine Sicherheitslage Ihres Geräts verbessert wird.
• E-Mail-Wachsamkeit : Seien Sie wachsam im Umgang mit E-Mails, insbesondere mit solchen, die unerwartete Anhänge oder Links enthalten. Phishing-E-Mails sind eine häufige Methode zur Verbreitung von Ransomware. Versuchen Sie, nicht auf verdächtige Links zuzugreifen und überprüfen Sie die Echtheit unerwarteter E-Mails, bevor Sie Maßnahmen ergreifen.
• Hochwertige Sicherheitssoftware : Installieren Sie seriöse Anti-Malware-Software. Konfigurieren Sie diese Tools so, dass sie regelmäßige Scans durchführen und ihre Datenbanken konsistent aktualisieren. Zuverlässige Sicherheitssoftware kann Ransomware-Bedrohungen erkennen und abwehren, bevor sie Ihr System gefährden.
• Netzwerksicherheitsmaßnahmen : Stärken Sie die Sicherheit Ihres Netzwerks durch den Einsatz von Firewalls und die Implementierung von Systemen zur Erkennung/Verhinderung von Eindringlingen. Die Beschränkung des unbefugten Zugriffs auf Ihr Netzwerk trägt dazu bei, die Verbreitung von Ransomware in Ihrem System zu verhindern und kritische Dateien zu schützen.

Die Implementierung dieser Sicherheitsmaßnahmen kann die Widerstandsfähigkeit Ihres Geräts gegen Ransomware-Angriffe erheblich verbessern. Durch die Kombination proaktiver Maßnahmen, Benutzerwache und der richtigen Sicherheitstools können Benutzer das Risiko, Opfer von Ransomware zu werden, minimieren und ihre wertvollen digitalen Vermögenswerte schützen. Bleiben Sie informiert, bleiben Sie sicher.

Der gesamte Text des Lösegeldscheins, der an mit der GoodMorning-Ransomware infizierte Geräte gesendet wurde, lautet:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'