GoodWill Ransomware
במבט ראשון, נראה שאיום GoodWill Ransomware הוא עוד תוכנה זדונית מזיקה שנועדה לנעול את הנתונים של הקורבנות שלה. ואכן, האיום מסוגל בהחלט לעשות זאת. כתובה ב-.NET, תוכנת הכופר של GoodWill משתמשת באלגוריתם ההצפנה AES כדי להצפין סוגי קבצים חשובים רבים במכשירים שנפרצו. הקבצים המושפעים כוללים מסדי נתונים, תמונות, מסמכים, ארכיונים וכו'. האיום גם נכנס למצב שינה למשך 722.45 שניות, כדרך לבלום כל ניסיונות ניתוח דינמיים.
עם זאת, כאשר חוקרים מחברת ניתוח האיומים CloudSEK בחנו את פתק הכופר של GoodWill Ransomware, הם גילו משהו חריג. במקום ההנחיות האופייניות כיצד לבצע תשלום כופר לפושעי הסייבר, ההערה מרובה העמודים של GoodWill מבקשת מהמשתמשים לבצע 3 פעולות צדקה. לאחר השלמת כל שלב, הקורבנות מתבקשים לפרסם סלפי ולשתף את החוויה בחשבונות המדיה החברתית שלהם. המפעילים של GoodWill Ransomware יוודאו שכל משימה בוצעה ויבטיחו לשלוח לקורבנותיהם ערכת פענוח מלאה המורכבת מכלי תוכנה, קובץ סיסמא וסרטון הדרכה. באשר לשלושת המעשים הנדיבים המתוארים בהערה, הם:
- פעילות 1 - תרומת בגדים לחסרי בית
- פעילות 2 - שלם עבור חמישה ילדים פחות ברי מזל ללכת לדומינוס, KFC או פיצה האט.
- פעילות 3 - שלם את החשבון הרפואי של אדם אומלל הזקוק לטיפול דחוף אך אין לו את הכספים לכך.
יש לציין שבמהלך ניתוח האיום שלהם, CloudSEK גילה מספר חיבורים המצביעים על כך שהמפעילים של GoodWill Ransomware הם מהודו. העדויות מורכבות מכתובת אימייל שמקורה בהודו, קיומן של מחרוזות המכילות מילים בהינדית ושתי כתובות IP שנמצאו במומבאי, הודו.
