GoodWill Ransomware

Esmapilgul näib GoodWill Ransomware oht olevat järjekordne kahjulik pahavara, mis on loodud selle ohvrite andmete lukustamiseks. Ja tõepoolest, ähvardus on selleks täiesti võimeline. NET-is kirjutatud GoodWill Ransomware kasutab rikutud seadmetes paljude oluliste failitüüpide krüptimiseks AES-i krüptoalgoritmi. Mõjutatud failid hõlmavad andmebaase, pilte, dokumente, arhiive jne. Samuti lülitub oht 722,45 sekundiks puhkerežiimi, et takistada dünaamilise analüüsi katseid.

Kui aga ohuanalüüsifirma CloudSEK teadlased GoodWill Ransomware lunarahakirja uurisid, avastasid nad midagi ebatavalist. Tüüpiliste juhiste asemel küberkurjategijatele lunaraha maksmise kohta palub GoodWilli mitmeleheküljeline märkus kasutajatel teha kolm heategevuslikku tegevust. Pärast iga sammu sooritamist palutakse ohvritel postitada selfisid ja jagada kogemust oma sotsiaalmeedia kontodel. GoodWill Ransomware operaatorid kontrollivad, kas iga ülesanne on täidetud, ja lubavad saata oma ohvritele täieliku dekrüpteerimiskomplekti, mis koosneb tarkvaratööriistast, paroolifailist ja videoõpetusest. Mis puudutab märkuses kirjeldatud kolme heldet tegu, siis need on järgmised:

• 1. tegevus – annetage kodututele riideid
• 2. tegevus – makske viie vähem õnneliku lapse eest, kes lähevad Dominosesse, KFC-sse või Pizza Huti.
• 3. tegevus – tasuge hädasti ravi vajava õnnetu inimese raviarve, kuid kellel pole selleks raha.

Tuleb märkida, et ohu analüüsi käigus avastas CloudSEK mitu seost, mis viitavad sellele, et GoodWill Ransomware operaatorid on pärit Indiast. Tõendid koosnevad Indiast pärit e-posti aadressist, hindikeelseid sõnu sisaldavate stringide olemasolust ja kahest IP-aadressist, mis asusid Indias Mumbais.