Ransomware GoodWill

Na první pohled se hrozba GoodWill Ransomware zdá být dalším škodlivým malwarem určeným k uzamčení dat svých obětí. A skutečně, hrozba je toho dokonale schopna. GoodWill Ransomware, napsaný v .NET, využívá kryptografický algoritmus AES k šifrování mnoha důležitých typů souborů na narušených zařízeních. Mezi ovlivněné soubory patří databáze, obrázky, dokumenty, archivy atd. Hrozba také přejde do režimu spánku na 722,45 sekundy, aby zabránila jakýmkoli pokusům o dynamickou analýzu.

Když však výzkumníci z firmy CloudSEK zabývající se analýzou hrozeb zkoumali výkupné GoodWill Ransomware, objevili něco neobvyklého. Namísto typických instrukcí, jak zaplatit výkupné kyberzločincům, mnohostránková poznámka GoodWill žádá uživatele, aby provedli 3 charitativní akce. Po dokončení každého kroku jsou oběti požádány, aby zveřejnily selfie a sdílely zkušenosti na svých účtech na sociálních sítích. Provozovatelé GoodWill Ransomware ověří, že každý úkol byl proveden, a slíbí, že svým obětem pošlou kompletní dešifrovací sadu obsahující softwarový nástroj, soubor s hesly a video tutoriál. Pokud jde o tři velkorysé činy popsané v poznámce, jsou to:

• Aktivita 1 – Darujte oblečení bezdomovcům
• Aktivita 2 – Zaplaťte za pět méně šťastných dětí, aby šly do Dominos, KFC nebo Pizza Hut.
• Aktivita 3 – Zaplaťte lékařský účet nešťastné osobě, která naléhavě potřebuje léčbu, ale nemá na ni finanční prostředky.

Je třeba poznamenat, že během analýzy hrozby CloudSEK objevil několik spojení, která směřují k operátorům Ransomwaru GoodWill z Indie. Důkazy se skládají z e-mailové adresy vysledované zpět do Indie, existence řetězců obsahujících slova v hindštině a dvou IP adres, které se nacházely v indické Bombaji.