GoodMorning Ransomware
GoodMorning NextGen
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.34136 / Python.Packed.15
ALYac -> Trojan.Ransom.Filecoder
BitDefender -> Trojan.Ransom.GoodMorning.B
ESET-NOD32 -> Python/Filecoder.JJ
Kaspersky -> Trojan.Win32.DelShad.gjl / Trojan.Win32.DelShad.gow
Malwarebytes -> ***
Microsoft -> Ransom:Win32/Blocker / Program:Win32/Wacapew.C!ml
Symantec -> Downloader / Trojan.Gen.2
TrendMicro -> Ransom_Blocker.R002C0DG921
---
© Генеалогия: SD Ransomware ? >> GoodMorning
Сайт "ID Ransomware" GoodMorning отдельно не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в середине - конце июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Есть сообщения от пострадавших из Великобритании, Австралии, Украины и России.
К зашифрованным файлам добавляется расширение: .GoodMorning
Фактически используется составное расширение по шаблону: .Id(XXXXXXXXX) Send Email(<email>).GoodMorning
Пример названия зашифрованного файла: Scan_123.jpg.Id(135B083BC) Send Email(troublemaker113@mailfence.com).GoodMorning
Записка с требованием выкупа называется: GoodMorning.txt
Записка с требованием выкупа называется: GoodMorning.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
---
Примечательно, что в записке указаны три emil-адреса, хотя вымогатель кажется один, судя по его обращению к жертве.
Good Morning!!
All your Files Have Been Encrypted
You can not protect your system I want help you
You must pay an amount of bitcoin to decrypt your files
If you want restore your files or you want my help send this ID : 187B084EA
to this email :troublemaker113@mailfence.com
If you didn't recieve any message , write message to this email : troublemaker113@tutanota.com or this : tedydecrypt@elude.in
!!!!!!!
I forget to tell this , never try decrypt your files by yourself , maybe you lost them forever and do not rename them
Перевод записки на русский язык:
Доброе утро!!
Все ваши файлы зашифрованы
Вы не можете защитить свою систему Я хочу вам помочь
Вы должны заплатить несколько биткойнов, чтобы расшифровать ваши файлы.
Если вы хотите восстановить свои файлы или вам нужна моя помощь, отправьте этот ID: 187B084EA
на этот email: troublemaker113@mailfence.com
Если вы не получили никакого сообщения, напишите сообщение на этот email : troublemaker113@tutanota.com или на этот: tedydecrypt@elude.in!!!!!!!
Я забыл об этом сказать, никогда не пытайтесь расшифровать свои файлы сам, возможно, вы потеряете их навсегда и не переименовывайте их
Примечательно, что в записке указаны три emil-адреса, хотя вымогатель кажется один, судя по его обращению к жертве.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует Windows PowerShell для запуска атаки и шифрования.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
GoodMorning.txt - название файла с требованием выкупа;
new.exe - название вредоносного файла;
WeSteal - в составе исполняемого файла (об этом похитителе криптовалюты).
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Windows\Vss\Writers\Application\new.exe
\Windows\Vss\Writers\System\new.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: troublemaker113@mailfence.com, troublemaker113@tutanota.com, tedydecrypt@elude.in
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 931d8cc9acda477fb505d9a2c09f581e
SHA-1: 748b9874c2f818a76ba55abecc90beb382b9b24f
SHA-256: 79f4c2aa9c3cdae4b02b1ab8e8df8e6e0d6a02c692991c0ee83a110260940038
Vhash: 037076655d155515755018z5enz25z17z
Imphash: ba54e48d0f0346b349e9f7a2c8ecaf5c
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 16 июня 2021:
Расширение: .GoodMorning
Шаблон расширения: .Id(XXXXXXXXX) Send Email(Goood.Morning@mailfence.com).GoodMorning
Пример расширения: .Id(18A2E3573) Send Email(Goood.Morning@mailfence.com).GoodMorning
Записка: Good Morning.txt
Email: Goood.Morning@mailfence.com, GooodMorning@tutanota.com, GoodMorning9@cock.li
Результаты анализов:
IOC: VT, HA, IA, TG
MD5: 931d8cc9acda477fb505d9a2c09f581e
Вариант от 30 июня 2021:
Расширение: .GoodMorning
Полное расширение: .Id(XXXXXXXXX) Send Email(Goood.Morning1@mailfence.com).GoodMorning
Записка: GoodMorning.txt
Email: Goood.Morning1@mailfence.com, GooodMorning1@tutanota.com, GoodMorning9@cock.li
Расширение: .LOCKED
Полное расширение: .Id = D8CXXXXX Email = John.Muller@mailfence.com .LOCKED
Email: John.Muller@mailfence.com, JohnMuller88@tutanota.com, picklock@elude.in
Записка: ReadMe.txt
➤ Содержание записки:
Hello My Friend
All your files are encrypted
The encryption algorithm is private so You have no chance for decrypt your files
The only way is my decryption tool
You must pay an amount of bitcoin for decryption tool
## BUT ### don't worry the amount is fair and I will teach you how to protect your server
If you want contact me Send your ID To My Email
Your ID : D8C*****
My First Mail : John.Muller@mailfence.com
If I didn't answer in 10 hours Send Email to this Email :
My Second Email : JohnMuller88@tutanota.com
My Third Email : picklock@elude.in
#1 If you didn't trust us Send a small file for decrypt test
#2 Never rename your files
#3 Never Try to decrypt them by your self
---
Вариант от 7 сентября 2021:
Расширение: .REAL
Пример зашифрованного файла: MediaId+Id(F592ADE1) mail(agentsmith@cock.email).REAL
Записка: ReadIt.txt или ReadMe.txt
Email: agentsmith@cock.email, smith@elud.email, ag3ntsm1th@tuta.io
Вариант от 5 октября 2021:
Расширение: .REAL
Полное расширение: +Id(65742EBA) mail(EmmaGaller@mailfence.com).REAL
Записка: ReadIt.txt
Email: EmmaGaller@mailfence.com, EmmaGaller@tutanota.com, EmmaGaller@cock.lu
Файл: GG.exe
MD5: 607af6916d6d43c2813f756d16f5c430
SHA-1: f8c17200e8da37cab2bfb29ce0794fb4c1d8e31e
SHA-256: c6e251cdce45ef45f68fd79cb459d412a81b337820648244f58e0bcebbf020d7
Vhash: 037076655d155515555018z5enz25z17z
Imphash: ba54e48d0f0346b349e9f7a2c8ecaf5c
➤ Обнаружения:
DrWeb -> Python.Packed.15
Kaspersky -> Trojan.Win32.DelShad.gww
TrendMicro -> Ransom.Win64.BLACKKINGDOM.SMYXBCX
Вариант от 29 октября 2021:
Расширение: .REAL
Полное расширение: +Id(C2DC987A) mail(Eliot.Bing@mailfence.com).REAL
Записка: ReadIt.txt
Email: Eliot.Bing@mailfence.com, EliotBing@tutanota.com, EmmaGaller@cock.lu
Файл: SS.exe
MD5: d6d78e94de610fad6749338f855edbcc
SHA-1: 0fb9d7b713ae158bf35f480f62d20255b6d14a97
SHA-256: f0f90338553ab244d779b2f172c2e6c82f7fc5725cba6ddb8d09c48d5f481e07
Vhash: 037076655d155515555018z5enz25z17z
Imphash: ba54e48d0f0346b349e9f7a2c8ecaf5c
➤ Обнаружения:
DrWeb -> Python.Packed.15
Kaspersky -> Trojan.Win32.DelShad.gyl
TrendMicro -> Ransom.Win64.BLACKKINGDOM.SMYXBCX
Вариант от 12 декабря 2021:
Расширение: .RSFDD
Пример зашифрованного файла: filename.jpg-IdF1A7B939 -mail John.Karick@mailfence.com.RSFDD
Записка: ReadMe.txt
Email: JohnKarick@tutanota.com, MikeClarke@cock.lu
--- пропущенные варианты не добавлялись ---
Вариант от 16 мая 2023:
Расширение: .KKK
Полное расширение: +Id(A523B408) mail(samantha22@tuta.io).KKK
Пример зашифрованного файла: filename.jpg+Id(A523B408) mail(samantha22@tuta.io).KKK
Записка: ReadMe.txt
Email: samantha22@tuta.io
Файл: Explorer.exe
IOC: VT
MD5: d85d3bbe712c94784539bbc5d6171dbf
SHA-1: ed2cb2d74a52e1dcf3e98d80204300c8c233be52
SHA-256: 3563f96389a94d21ca2f8ee71a73e4c9d88810778770b5060aeb912ac854acc9
Vhash: 037076655d155515755018z5enz25z17z
Imphash: ba54e48d0f0346b349e9f7a2c8ecaf5c
➤ Обнаружения:
DrWeb -> Python.Packed.15
Kaspersky -> Trojan.Win32.DelShad.lew
TrendMicro -> Ransom.Win64.BLACKKINGDOM.SMYXBCX
***
Следующие варианты, скорее всего, принадлежат к новым версиям RCRU64 Ransomware. Они уже добавлены в статью RCRU64.
После проработки всех связей с форумами и сервисами анализа вредоносных файлов, останется только удалить их отсюда.
Вариант от 25 ноября 2022:
Расширение: .HHE
Пример зашифрованного файла: document.html_[ID-HONKM_Mail-jounypaulo@mail.ee].HHE
Записка: Restore_Your_Files.txt
Email: jounypaulo@mail.ee, jounypaulo@tutanota.com
=== 2023 ===
Вариант от 24 января 2023:
Расширение на конце: .LRO
Полное расширение: _[ID-LQIWB_Mail-pm24@tuta.io].LRO
Записка: Restore_Your_Files.txt
Email: pm24@tuta.io
Вариант от 22 марта 2023 или раньше:
Расширение: .M4X
Расширение: _[ID-RRF0H_Mail-dr.file2022@gmail.com].M4X
Пример заш-файла: Document.pdf_[ID-RRF0H_Mail-dr.file2022@gmail.com].M4X
Записка: Restore_Your_Files.txt
Email: dr.file2022@gmail.com, dr.files@onionmail.org
Вариант от 20 апреля 2023 или раньше:
Расширение: .Vypt
Расширение: _[ID-L1LXB_Mail-vyptteam@zohomail.eu].Vypt
Пример заш-файла: Document.pdf_[ID-L1LXB_Mail-vyptteam@zohomail.eu].Vypt
Записка: Restore_Your_Files.txt
Email: vyptteam@zohomail.eu
Telegram: @VyptTeam
Вариант от 16 мая 2023 и позже:
Расширение: .DFI
Пример заш-файла: Document.pdf_[ID-CGTD5_Mail-kilook200@gmail.com].DFI
Записки: Restore_Your_Files.txt, ReadMe.hta
Email: kilook200@gmail.com
Telegram: @kilook200
Файл: kilook200@gmail.com_Manual.exe
IOC: VT, IA
MD5: 0e246cfd13513af32939a9743d24b0f4
➤ Обнаружения:
DrWeb -> Trojan.Encoder.37400
ESET-NOD32 -> A Variant Of Win32/Filecoder.ONB
Вариант от 21 августа 2023 или раньше:
Пример заш-файла: Document.pdf_[ID-DXNVI_Mail-Sc.computer1992@Gmail.com].L7I
Записка: Restore_Your_Files.txt
Email: Sc.computer1992@Gmail.com, Helpyoudc1966@Gamil.com
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + myMessage Write-up, Topic of Support *
Thanks: Andrew Ivanov (article author), Sandor Michael Gillespie *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
