GoodWill Ransomware

Na prvi se pogled čini da je prijetnja GoodWill Ransomware još jedan štetni zlonamjerni softver dizajniran za zaključavanje podataka svojih žrtava. I doista, prijetnja je savršeno sposobna za to. Napisan u .NET-u, GoodWill Ransomware koristi AES kriptografski algoritam za šifriranje brojnih važnih vrsta datoteka na oštećenim uređajima. Zahvaćene datoteke uključuju baze podataka, slike, dokumente, arhive itd. Prijetnja također ulazi u stanje mirovanja na 722,45 sekundi, kako bi spriječila bilo kakve pokušaje dinamičke analize.

Međutim, kada su istraživači iz tvrtke za analizu prijetnji CloudSEK pregledali otkupninu GoodWill Ransomwarea, otkrili su nešto neobično. Umjesto tipičnih uputa o tome kako izvršiti uplatu otkupnine kibernetičkim kriminalcima, GoodWillova bilješka na više stranica traži od korisnika da učine 3 dobrotvorne akcije. Nakon završetka svakog koraka od žrtava se traži da objave selfije i podijele iskustvo na svojim računima na društvenim mrežama. Operateri GoodWill Ransomwarea provjerit će je li svaki zadatak obavljen i obećavaju da će poslati puni komplet za dešifriranje koji se sastoji od softverskog alata, datoteke lozinke i video tutoriala svojim žrtvama. Što se tiče tri velikodušna djela opisana u bilješci, to su:

• Aktivnost 1 - Donirajte odjeću beskućnicima
• Aktivnost 2 - Platite za petero manje sretnih klinaca odlazak u Dominos, KFC ili Pizza Hut.
• Aktivnost 3 - Platite liječnički račun nesretne osobe kojoj je hitno potrebno liječenje, ali nema sredstava za to.

Treba napomenuti da je tijekom svoje analize prijetnje, CloudSEK otkrio više veza koje upućuju na to da su operateri GoodWill Ransomwarea iz Indije. Dokazi se sastoje od adrese e-pošte koja se nalazi u Indiji, postojanja nizova koji sadrže riječi na hindskom jeziku i dvije IP adrese koje su se nalazile u Mumbaiju u Indiji.