باج افزار GoodWill

در نگاه اول، به نظر می رسد که تهدید باج افزار GoodWill یک بدافزار مضر دیگر است که برای قفل کردن داده های قربانیان خود طراحی شده است. و در واقع، تهدید کاملاً قادر به انجام این کار است. باج‌افزار GoodWill که در دات‌نت نوشته شده است، از الگوریتم رمزنگاری AES برای رمزگذاری انواع فایل‌های مهم در دستگاه‌های نقض شده استفاده می‌کند. فایل‌های آسیب‌دیده شامل پایگاه‌های داده، تصاویر، اسناد، بایگانی‌ها و غیره هستند. این تهدید همچنین به مدت 722.45 ثانیه به حالت خواب وارد می‌شود تا مانع از هرگونه تلاش برای تحلیل پویا شود.

با این حال، هنگامی که محققان شرکت تحلیل تهدید CloudSEK یادداشت باج افزار GoodWill Ransomware را بررسی کردند، چیزی غیرعادی کشف کردند. به جای دستورالعمل‌های معمولی در مورد نحوه پرداخت باج به مجرمان سایبری، یادداشت چند صفحه‌ای GoodWill از کاربران درخواست می‌کند تا ۳ اقدام خیرخواهانه انجام دهند. پس از اتمام هر مرحله، از قربانیان خواسته می‌شود سلفی‌های خود را پست کنند و تجربه را در حساب‌های رسانه‌های اجتماعی خود به اشتراک بگذارند. اپراتورهای باج‌افزار GoodWill تأیید می‌کنند که هر کار انجام شده است و قول می‌دهند یک کیت رمزگشایی کامل شامل یک ابزار نرم‌افزار، فایل رمز عبور و یک آموزش ویدیویی را برای قربانیان خود ارسال کنند. در مورد سه عمل سخاوتمندانه شرح داده شده در یادداشت، آنها عبارتند از:

• فعالیت 1 - اهدای لباس به افراد بی خانمان
• فعالیت 2 - برای پنج کودک کمتر خوش شانس برای رفتن به Dominos، KFC یا Pizza Hut پرداخت کنید.
• فعالیت 3 - پرداخت صورتحساب پزشکی فرد بدبختی که نیاز فوری به درمان دارد اما بودجه آن را ندارد.

لازم به ذکر است که CloudSEK در طول تجزیه و تحلیل خود از تهدید، چندین اتصال را کشف کرد که به اپراتورهای باج افزار GoodWill از هند اشاره دارد. شواهد شامل یک آدرس ایمیل است که به هند بازمی گردد، وجود رشته هایی حاوی کلمات به زبان هندی، و دو آدرس IP که در بمبئی، هند قرار داشتند.