GoodWill Ransomware

Ensi silmäyksellä GoodWill Ransomware -uhka näyttää olevan jälleen yksi haitallinen haittaohjelma, joka on suunniteltu lukitsemaan uhriensa tiedot. Ja todellakin, uhka pystyy täysin tekemään sen. NET-muotoon kirjoitettu GoodWill Ransomware käyttää AES-salausalgoritmia lukuisten tärkeiden tiedostotyyppien salaamiseen rikotuissa laitteissa. Asianomaisia tiedostoja ovat tietokannat, kuvat, asiakirjat, arkistot jne. Uhka siirtyy myös lepotilaan 722,45 sekunniksi estääkseen dynaamisen analyysin.

Kuitenkin, kun uhka-analyysiyrityksen CloudSEK-tutkijat tutkivat GoodWill Ransomwaren lunnaita, he löysivät jotain epätavallista. Tyypillisten ohjeiden sijaan lunnaiden maksamiseen kyberrikollisille, GoodWillin monisivuinen huomautus pyytää käyttäjiä suorittamaan kolme hyväntekeväisyystapahtumaa. Kunkin vaiheen jälkeen uhreja pyydetään julkaisemaan selfieitä ja jakamaan kokemuksensa sosiaalisen median tileillään. GoodWill Ransomwaren operaattorit varmistavat, että jokainen tehtävä on suoritettu, ja lupaavat lähettää uhreilleen täydellisen salauksenpurkupaketin, joka koostuu ohjelmistotyökalusta, salasanatiedostosta ja video-opetusohjelmasta. Mitä tulee muistiinpanossa kuvattuun kolmeen anteliaan tekoon, ne ovat:

• Tehtävä 1 - Lahjoita vaatteita kodittomille
• Tehtävä 2 - Maksa viidestä vähemmän onnekkaasta lapsesta, jotka pääsevät Dominosiin, KFC:hen tai Pizza Hutiin.
• Tehtävä 3 - Maksa onnettoman henkilön sairauslasku, joka tarvitsee kiireellisesti hoitoa, mutta jolla ei ole siihen varoja.

On huomattava, että CloudSEK havaitsi uhka-analyysin aikana useita yhteyksiä, jotka viittaavat siihen, että GoodWill Ransomwaren operaattorit ovat Intiasta. Todisteet koostuvat Intiasta peräisin olevasta sähköpostiosoitteesta, hindinkielisiä sanoja sisältävistä merkkijonoista ja kahdesta IP-osoitteesta, jotka sijaitsivat Mumbaissa, Intiassa.