GoodMorning Ransomware

Durante el examen de las amenazas de malware, los investigadores de ciberseguridad identificaron un ransomware particularmente formidable conocido como GoodMorning. Al infiltrarse en un sistema, GoodMorning inicia un proceso de cifrado de archivos que afecta a un amplio espectro de tipos de archivos presentes en el dispositivo de destino. Como parte de su firma distintiva, el ransomware añade la extensión '.goodmorning' a los nombres de archivo originales de los archivos cifrados. Posteriormente, la amenaza deja una nota de rescate llamada "how_to_back_files.html".

Para ilustrar la metodología de cambio de nombre de archivos empleada por GoodMorning, transforma nombres de archivos como '1.png' en '1.jpg.goodmorning' y '2.pdf' en '2.png.goodmorning', lo que demuestra una alteración constante del archivo. extensiones. Cabe destacar que el minucioso análisis realizado por expertos en ciberseguridad ha establecido a GoodMorning como una variante dentro de la familia Globe Imposter Ransomware . Esta clasificación indica una conexión con una categoría más amplia de ransomware con características y comportamientos compartidos.

El ransomware GoodMorning busca extorsionar a sus víctimas tomando como rehenes sus datos

La nota de rescate emitida por GoodMorning Ransomware comunica una situación terrible, afirmando que los datos vitales han sido cifrados y solo pueden restaurarse mediante el uso de un descifrador. La demanda de rescate especifica un pago de 1,5 BTC, equivalente a más de 75.000 dólares. Sin embargo, considerando la naturaleza volátil de Bitcoin, el precio exacto podría cambiar drásticamente en un corto período de tiempo.

Se proporcionan instrucciones sobre cómo adquirir Bitcoin desde plataformas como Binance o Coinbase, y se espera que el pago se dirija a una billetera BTC específica, cuyos detalles se proporcionan después de contactar a los atacantes. Se hace hincapié en el estricto cumplimiento de estas instrucciones, advirtiendo que cualquier desviación puede resultar en la pérdida irreversible de fondos.

También se proporcionan a las víctimas de la amenaza datos de contacto, incluido un ToxID y un enlace para descargar TOXChat. La nota de rescate advierte que el incumplimiento de las demandas de pago dará lugar a la venta de los archivos y bases de datos corporativos recopilados a terceros o su exposición pública. Los atacantes describen su curso de acción si las víctimas rechazan el pago, lo que implica organizar subastas en sitios DarkNet para vender archivos filtrados y contacto directo con compradores potenciales para ofrecer información comprometida a la venta.

Los ciberdelincuentes enfatizan la importancia de la comunicación directa para evitar servicios intermediarios que puedan engañar y retener pagos de las víctimas. La nota asegura a las víctimas que la comunicación directa garantiza negociaciones exitosas y subraya el compromiso de mantener interacciones educadas y mutuamente beneficiosas.

A pesar de la naturaleza coercitiva de la nota de rescate, se desaconseja a los usuarios pagar el rescate debido a los riesgos inherentes que implica. Las promesas de los atacantes de restaurar los archivos previo pago carecen de garantías. Además, se destaca que la rápida eliminación del ransomware de los sistemas comprometidos es crucial para minimizar la posibilidad de daños mayores, incluido el cifrado adicional de archivos.

Aumente la seguridad de sus dispositivos contra ataques de ransomware y malware

Los ataques de ransomware siguen siendo una amenaza persistente en el panorama digital y provocan posibles pérdidas de datos y daños financieros a los usuarios. Es imperativo fortalecer su defensa contra este tipo de actividades inseguras. A continuación se presentan cinco medidas de seguridad esenciales que los usuarios pueden implementar en sus dispositivos para reforzar la protección contra ataques de ransomware.

• Copias de seguridad periódicas : realice copias de seguridad periódicas de sus datos críticos en unidades externas o plataformas seguras en la nube. En el desafortunado episodio de un ataque de ransomware, tener copias de seguridad actualizadas permite una recuperación rápida sin sucumbir a la extorsión.
• Actualizaciones de software : mantenga actualizado su sistema operativo, software de seguridad y aplicaciones. Las actualizaciones oportunas parchean las vulnerabilidades que el ransomware puede explotar, mejorando la postura de seguridad general de su dispositivo.
• Vigilancia del correo electrónico : esté atento al manejar correos electrónicos, especialmente aquellos que contienen archivos adjuntos o enlaces inesperados. Los correos electrónicos de phishing son un método común de entrega de ransomware. Intente no acceder a enlaces sospechosos y verifique la autenticidad de los correos electrónicos inesperados antes de realizar cualquier acción.
• Software de seguridad de calidad : instale software antimalware confiable. Configure estas herramientas para realizar análisis periódicos y actualizar sus bases de datos de forma constante. Un software de seguridad confiable puede detectar y frustrar las amenazas de ransomware antes de que comprometan su sistema.
• Medidas de seguridad de la red : fortalezca la seguridad de su red mediante el uso de firewalls e implementando sistemas de detección/prevención de intrusiones. Restringir el acceso no autorizado a su red ayuda a prevenir la propagación de ransomware dentro de su sistema, protegiendo los archivos críticos.

La implementación de estas medidas de seguridad puede mejorar significativamente la resistencia de su dispositivo contra ataques de ransomware. Al combinar medidas proactivas, vigilancia del usuario y las herramientas de seguridad adecuadas, los usuarios pueden minimizar el riesgo de ser víctimas de ransomware y proteger sus valiosos activos digitales. Manténgase informado, manténgase seguro.

El texto completo de la nota de rescate enviada a los dispositivos infectados por GoodMorning Ransomware es:

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'