GoodWill Ransomware

A primera vista, l'amenaça GoodWill Ransomware sembla ser un altre programari maliciós nociu dissenyat per bloquejar les dades de les seves víctimes. I, de fet, l'amenaça és perfectament capaç de fer-ho. Escrit a .NET, el GoodWill Ransomware utilitza l'algoritme criptogràfic AES per xifrar nombrosos tipus de fitxers importants en dispositius violats. Els fitxers afectats inclouen bases de dades, imatges, documents, arxius, etc. L'amenaça també entra en mode de repòs durant 722,45 segons, com una manera de dificultar qualsevol intent d'anàlisi dinàmica.

Tanmateix, quan els investigadors de l'empresa d'anàlisi d'amenaces CloudSEK van examinar la nota de rescat de GoodWill Ransomware, van descobrir alguna cosa inusual. En lloc de les instruccions típiques sobre com fer un pagament de rescat als ciberdelinqüents, la nota de diverses pàgines de GoodWill demana als usuaris que facin 3 accions benèfiques. Després de completar cada pas, es demana a les víctimes que publiquin selfies i comparteixin l'experiència als seus comptes de xarxes socials. Els operadors del GoodWill Ransomware verificaran que s'hagi realitzat cada tasca i es comprometran a enviar un kit de desxifrat complet que constarà d'una eina de programari, un fitxer de contrasenya i un vídeo tutorial a les seves víctimes. Pel que fa als tres actes generosos descrits a la nota, són:

• Activitat 1 - Donar roba a persones sense sostre
• Activitat 2: paga perquè cinc nens menys afortunats vagin a Dominos, KFC o Pizza Hut.
• Activitat 3 - Pagar la factura mèdica d'una persona desafortunada que necessita un tractament urgent però que no té els fons per fer-ho.

Cal assenyalar que durant la seva anàlisi de l'amenaça, CloudSEK va descobrir múltiples connexions que apunten que els operadors del GoodWill Ransomware eren de l'Índia. L'evidència consisteix en una adreça de correu electrònic que es remunta a l'Índia, l'existència de cadenes que contenen paraules en hindi i dues adreces IP que es trobaven a Bombai, Índia.