GoodWill Ransomware

Ved første øjekast ser GoodWill Ransomware-truslen ud til at være endnu en skadelig malware designet til at låse ofrenes data. Og truslen er faktisk helt i stand til at gøre det. Skrevet i .NET, GoodWill Ransomware bruger AES kryptografiske algoritme til at kryptere adskillige vigtige filtyper på brudte enheder. De berørte filer omfatter databaser, billeder, dokumenter, arkiver osv. Truslen går også i dvaletilstand i 722,45 sekunder, som en måde at hæmme ethvert dynamisk analyseforsøg.

Men da forskere fra trusselsanalysefirmaet CloudSEK undersøgte GoodWill Ransomwares løsesumseddel, opdagede de noget usædvanligt. I stedet for de typiske instruktioner om, hvordan man foretager en løsesumsbetaling til cyberkriminelle, anmoder GoodWills flersidede note brugere om at udføre 3 velgørende handlinger. Efter at have gennemført hvert trin, bliver ofre bedt om at poste selfies og dele oplevelsen på deres sociale mediekonti. Operatørerne af GoodWill Ransomware vil verificere, at hver opgave er blevet udført og lover at sende et komplet dekrypteringssæt bestående af et softwareværktøj, en adgangskodefil og en videovejledning til deres ofre. Hvad angår de tre generøse handlinger, der er beskrevet i noten, er de:

• Aktivitet 1 - Donér tøj til de hjemløse
• Aktivitet 2 - Betal for fem mindre heldige børn for at tage til Dominos, KFC eller Pizza Hut.
• Aktivitet 3 - Betal lægeregningen for en uheldig person, der har akut behov for behandling, men ikke har midlerne til det.

Det skal bemærkes, at CloudSEK under deres analyse af truslen opdagede flere forbindelser, der peger mod, at operatørerne af GoodWill Ransomware er fra Indien. Beviset består af en e-mail-adresse sporet tilbage til Indien, eksistensen af strenge, der indeholder ord på hindi, og to IP-adresser, der var placeret i Mumbai, Indien.