باج افزار GoodWill
در نگاه اول، به نظر می رسد که تهدید باج افزار GoodWill یک بدافزار مضر دیگر است که برای قفل کردن داده های قربانیان خود طراحی شده است. و در واقع، تهدید کاملاً قادر به انجام این کار است. باجافزار GoodWill که در داتنت نوشته شده است، از الگوریتم رمزنگاری AES برای رمزگذاری انواع فایلهای مهم در دستگاههای نقض شده استفاده میکند. فایلهای آسیبدیده شامل پایگاههای داده، تصاویر، اسناد، بایگانیها و غیره هستند. این تهدید همچنین به مدت 722.45 ثانیه به حالت خواب وارد میشود تا مانع از هرگونه تلاش برای تحلیل پویا شود.
با این حال، هنگامی که محققان شرکت تحلیل تهدید CloudSEK یادداشت باج افزار GoodWill Ransomware را بررسی کردند، چیزی غیرعادی کشف کردند. به جای دستورالعملهای معمولی در مورد نحوه پرداخت باج به مجرمان سایبری، یادداشت چند صفحهای GoodWill از کاربران درخواست میکند تا ۳ اقدام خیرخواهانه انجام دهند. پس از اتمام هر مرحله، از قربانیان خواسته میشود سلفیهای خود را پست کنند و تجربه را در حسابهای رسانههای اجتماعی خود به اشتراک بگذارند. اپراتورهای باجافزار GoodWill تأیید میکنند که هر کار انجام شده است و قول میدهند یک کیت رمزگشایی کامل شامل یک ابزار نرمافزار، فایل رمز عبور و یک آموزش ویدیویی را برای قربانیان خود ارسال کنند. در مورد سه عمل سخاوتمندانه شرح داده شده در یادداشت، آنها عبارتند از:
- فعالیت 1 - اهدای لباس به افراد بی خانمان
- فعالیت 2 - برای پنج کودک کمتر خوش شانس برای رفتن به Dominos، KFC یا Pizza Hut پرداخت کنید.
- فعالیت 3 - پرداخت صورتحساب پزشکی فرد بدبختی که نیاز فوری به درمان دارد اما بودجه آن را ندارد.
لازم به ذکر است که CloudSEK در طول تجزیه و تحلیل خود از تهدید، چندین اتصال را کشف کرد که به اپراتورهای باج افزار GoodWill از هند اشاره دارد. شواهد شامل یک آدرس ایمیل است که به هند بازمی گردد، وجود رشته هایی حاوی کلمات به زبان هندی، و دو آدرس IP که در بمبئی، هند قرار داشتند.