GoodMorning Ransomware

マルウェアの脅威の調査中に、サイバーセキュリティ研究者は、GoodMorning として知られる特に恐るべきランサムウェアを特定しました。システムに侵入すると、GoodMorning は、ターゲットのデバイス上に存在する幅広い種類のファイルに影響を与えるファイル暗号化のプロセスに取り組みます。ランサムウェアは、その独特の署名の一部として、暗号化されたファイルの元のファイル名に「.goodMorning」拡張子を追加します。その後、脅威は「how_to_back_files.html」という名前の身代金メモを残します。

GoodMorning で採用されているファイル名変更手法を説明すると、「1.png」から「1.jpg.goodMorning」、「2.pdf」から「2.png.goodMorning」などのファイル名が変換され、ファイルの一貫した変更が示されています。拡張子。サイバーセキュリティの専門家によって行われた綿密な分析により、GoodMorning がGlobe Imposter Ransomwareファミリ内の亜種として確立されたことは注目に値します。この分類は、共通の特性と動作を持つ、より広範なカテゴリのランサムウェアとの関連性を示しています。

GoodMorning ランサムウェアは被害者のデータを人質にして恐喝を狙う

GoodMorning ランサムウェアが発行した身代金メモは、重要なデータが暗号化されており、復号化ツールを使用しないと復元できないと主張し、悲惨な状況を伝えています。身代金要求では、75,000 米ドル以上に相当する 1.5 BTC の支払いが指定されています。ただし、ビットコインの不安定な性質を考慮すると、正確な価格は短期間で大幅に変化する可能性があります。

Binance や Coinbase などのプラットフォームからビットコインを取得する方法が説明されており、支払いは指定された BTC ウォレットに送られることが予想されており、その詳細は攻撃者との連絡後に提供されます。これらの指示を厳守することが強調され、逸脱すると取り返しのつかない資金の損失が生じる可能性があると警告されています。

ToxID や TOXChat のダウンロードへのリンクなどの連絡先の詳細も、脅威の被害者に提供されます。身代金メモでは、支払い要求に従わない場合、収集した企業ファイルやデータベースが第三者に販売されたり、公開されたりする可能性があると警告している。攻撃者らは、被害者が支払いを拒否した場合の行動方針を概説しており、ダークネットサイトでオークションを開催して漏洩ファイルを販売したり、潜在的な購入者と直接接触して侵害された情報を販売に提供したりすることが含まれる。

サイバー犯罪者らは、被害者を誤解させたり、被害者からの支払いを保留したりする可能性のある仲介サービスを回避するために、直接コミュニケーションの重要性を強調しています。このメモは、直接のコミュニケーションが交渉の成功を確実にし、礼儀正しく相互に有益なやりとりへの取り組みを強調するものであることを被害者に保証している。

身代金メモの強制的な性質にもかかわらず、ユーザーは固有のリスクを考慮して身代金を支払うことを強く推奨されません。支払い次第ファイルを復元するという攻撃者の約束には保証がありません。さらに、追加のファイル暗号化など、さらなる被害の可能性を最小限に抑えるためには、侵害されたシステムからランサムウェアを迅速に削除することが重要であることが強調されています。

ランサムウェアやマルウェア攻撃に対するデバイスのセキュリティを強化します

ランサムウェア攻撃はデジタル環境において引き続き脅威であり、ユーザーにデータ損失や経済的損害をもたらす可能性があります。このような危険な活動に対する防御を強化することが不可欠です。ここでは、ランサムウェア攻撃に対する保護を強化するためにユーザーがデバイスに実装できる 5 つの重要なセキュリティ対策を紹介します。

• 定期的なバックアップ: 重要なデータの定期的なバックアップを外部ドライブまたは安全なクラウド プラットフォームに実行します。ランサムウェア攻撃という不運な事態が発生した場合でも、最新のバックアップがあれば、恐喝に屈することなく迅速に回復できます。
• ソフトウェアのアップデート: オペレーティング システム、セキュリティ ソフトウェア、アプリケーションを常に最新の状態に保ちます。ランサムウェアが悪用する可能性のあるパッチの脆弱性をタイムリーに更新し、デバイスの全体的なセキュリティ体制を強化します。
• 電子メールの警戒: 電子メール、特に予期しない添付ファイルやリンクを含む電子メールを扱うときは注意してください。フィッシングメールは、ランサムウェアの一般的な配信方法です。アクションを起こす前に、疑わしいリンクにはアクセスしないようにし、予期しない電子メールの信頼性を確認してください。
• 高品質のセキュリティ ソフトウェア: 評判の良いマルウェア対策ソフトウェアをインストールします。これらのツールを構成して、定期的なスキャンを実行し、データベースを一貫して更新します。信頼できるセキュリティ ソフトウェアは、ランサムウェアの脅威がシステムを侵害する前に検出し、阻止します。
• ネットワークセキュリティ対策：ファイアウォールの利用や侵入検知・防御システムの導入によりネットワークセキュリティを強化します。ネットワークへの不正アクセスを制限すると、システム内でのランサムウェアの蔓延を防ぎ、重要なファイルを保護できます。

これらのセキュリティ対策を実装すると、ランサムウェア攻撃に対するデバイスの回復力が大幅に強化されます。プロアクティブな対策、ユーザーの警戒心、適切なセキュリティ ツールを組み合わせることで、ユーザーはランサムウェアの被害に遭うリスクを最小限に抑え、貴重なデジタル資産を保護できます。常に最新情報を入手し、安全を確保してください。

GoodMorning ランサムウェアに感染したデバイスに投下された身代金メモの全文は次のとおりです。

'YOUR PERSONAL ID

ENGLISH
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

TO RESTORE FILES YOU WILL NEED A DECRYPTOR!
To get the decryptor you should:

Pay for decrypt your network 1.5 BTC ( this is price for all PC/Servers in your corporate NetWork ! )

Buy BTC on one of these sites
hxxps://binance.com
hxxps://www.coinbase.com
Any site you trust

BTC Wallet for pay: 3Disq313 (full wallet ask from support) !Attention! to payout wallet specifically for your company must begin with and finish with symbols indicated above, if you are offered any other wallet - know it's not us, but someone else! do not pay anything- you just lose money.

Our contact:

ToxID: CA04B61C320C50D12A2C1B95B506247 4B5C00B995B588D0B3781DC052CBF9A354CD10F96C84D

You can download TOXChat here : hxxps://tox.chat/download.html

The message must contain your Personal ID! it is at top of this document.

Also, your corporate files and databases have been stolen from your network. In case of non-payment, we reserve the right to sell them to third parties or publish them in public resouses.

HOW IT WORKS:
In case of non-payment, we organize an auction on various sites in DarkNet and try to sell files leaked from your network to interested parties.
Next, we use mail + any other contacts of your clients, and notify them of what happened, perhaps they will be interested so that information does not get into public domain and will be ready to buy out information separately.

If there are no buyers willing to buy, we simply publish everything that we have in public resources.

Attention!

If you need a decrypter or return information, please contact us directly, avoid communicating with helper-services, they often take money and do not send it to us, assuring customers that deal failed through no fault of theirs. At same time, leaving money to yourself, and client is informed that money were transferred to us. The guarantee of a successful deals is only a direct contact! If you decide to negotiate not own - we can request confirmation of the negotiator's authority directly from the company. Please do not ignore these requests - otherwise negotiations will reach an impasse and problem not will be resolved. Don't shy… It's just business for us and we are always ready for polite and mutually beneficial communication.'