GoodWill Ransomware

На пръв поглед заплахата GoodWill Ransomware изглежда е още един вреден злонамерен софтуер, предназначен да заключи данните на своите жертви. И наистина, заплахата е напълно способна да направи това. Написан в .NET, GoodWill Ransomware използва криптографския алгоритъм на AES за криптиране на множество важни типове файлове на взломени устройства. Засегнатите файлове включват бази данни, снимки, документи, архиви и др. Заплахата също влиза в режим на заспиване за 722,45 секунди, като начин да възпрепятства всякакви опити за динамичен анализ.

Въпреки това, когато изследователи от фирмата за анализ на заплахи CloudSEK разгледаха бележката за откуп на GoodWill Ransomware, те откриха нещо необичайно. Вместо типичните инструкции как да се направи плащане на откуп на киберпрестъпниците, многостраничната бележка на GoodWill изисква от потребителите да направят 3 благотворителни акции. След завършване на всяка стъпка жертвите са помолени да публикуват селфита и да споделят преживяното в своите акаунти в социалните медии. Операторите на GoodWill Ransomware ще проверят дали всяка задача е изпълнена и обещават да изпратят пълен комплект за декриптиране, състоящ се от софтуерен инструмент, файл с парола и видеоурок на своите жертви. Що се отнася до трите щедри действия, описани в бележката, те са:

• Дейност 1 - Дарете дрехи на бездомните
• Дейност 2 – Платете за пет деца с по-малко късмет, за да отидат в Dominos, KFC или Pizza Hut.
• Дейност 3 - Платете медицинската сметка на нещастен човек, който има спешна нужда от лечение, но няма средства за това.

Трябва да се отбележи, че по време на техния анализ на заплахата, CloudSEK откри множество връзки, които сочат към операторите на GoodWill Ransomware от Индия. Доказателството се състои от имейл адрес, проследен до Индия, съществуването на низове, съдържащи думи на хинди, и два IP адреса, които се намират в Мумбай, Индия.