برنامج GoodWill Ransomware
للوهلة الأولى ، يبدو أن تهديد GoodWill Ransomware هو برنامج ضار آخر مصمم لقفل بيانات ضحاياه. وبالفعل ، فإن التهديد قادر تمامًا على القيام بذلك. يستخدم برنامج GoodWill Ransomware المكتوب في .NET ، خوارزمية تشفير AES لتشفير العديد من أنواع الملفات المهمة على الأجهزة التي تم اختراقها. تتضمن الملفات المتأثرة قواعد البيانات والصور والمستندات والمحفوظات وما إلى ذلك. يدخل التهديد أيضًا في وضع السكون لمدة 722.45 ثانية ، كطريقة لإعاقة أي محاولات تحليل ديناميكي.
ومع ذلك ، عندما قام باحثون من شركة CloudSEK لتحليل التهديدات بفحص مذكرة فدية GoodWill Ransomware ، اكتشفوا شيئًا غير عادي. بدلاً من الإرشادات النموذجية حول كيفية دفع فدية لمجرمي الإنترنت ، تطلب مذكرة GoodWill متعددة الصفحات من المستخدمين القيام بـ 3 إجراءات خيرية. بعد الانتهاء من كل خطوة ، يُطلب من الضحايا نشر صور سيلفي ومشاركة التجربة على حساباتهم على وسائل التواصل الاجتماعي. سيتحقق مشغلو GoodWill Ransomware من أن كل مهمة قد تم تنفيذها ويعدون بإرسال مجموعة كاملة من أدوات فك التشفير تتكون من أداة برمجية وملف كلمة مرور ومقطع فيديو تعليمي إلى ضحاياهم. وأما الأفعال الثلاثة السخية الموصوفة في الملاحظة فهي:
- النشاط الأول - التبرع بالملابس للمشردين
- النشاط 2 - ادفع مقابل خمسة أطفال أقل حظًا للذهاب إلى Dominos أو KFC أو Pizza Hut.
- النشاط 3 - دفع الفاتورة الطبية لشخص سيئ الحظ بحاجة ماسة إلى العلاج ولكن ليس لديه الأموال اللازمة لذلك.
وتجدر الإشارة إلى أنه خلال تحليلهم للتهديد ، اكتشف CloudSEK اتصالات متعددة تشير إلى مشغلي GoodWill Ransomware من الهند. يتكون الدليل من عنوان بريد إلكتروني يعود إلى الهند ، ووجود سلاسل تحتوي على كلمات باللغة الهندية ، وعناوين IP كانا موجودين في مومباي ، الهند.
