GoodWill Ransomware

Első pillantásra a GoodWill Ransomware fenyegetés egy újabb káros rosszindulatú programnak tűnik, amelyet áldozatai adatainak zárolására terveztek. És valóban, a fenyegetés tökéletesen képes erre. A .NET-ben írt GoodWill Ransomware az AES kriptográfiai algoritmust használja számos fontos fájltípus titkosításához a feltört eszközökön. Az érintett fájlok között szerepelnek adatbázisok, képek, dokumentumok, archívumok stb. A fenyegetés 722,45 másodpercre alvó módba is lép, ezzel akadályozva a dinamikus elemzési kísérleteket.

Amikor azonban a CloudSEK fenyegetéselemző cég kutatói megvizsgálták a GoodWill Ransomware váltságdíját, valami szokatlant fedeztek fel. A kiberbűnözők váltságdíjának kifizetésére vonatkozó tipikus utasítások helyett a GoodWill többoldalas feljegyzése 3 jótékonysági akció elvégzésére kéri a felhasználókat. Az egyes lépések elvégzése után az áldozatokat arra kérik, hogy tegyenek szelfit, és osszák meg tapasztalataikat közösségi médiafiókjaikon. A GoodWill Ransomware üzemeltetői ellenőrzik, hogy minden egyes feladatot elvégeztek-e, és ígéretet tesznek arra, hogy egy szoftvereszközt, jelszófájlt és oktatóvideót tartalmazó teljes visszafejtő készletet küldenek áldozataiknak. Ami a feljegyzésben leírt három nagylelkű cselekedetet illeti, ezek a következők:

• 1. tevékenység – Adományozzon ruhákat a hajléktalanoknak
• 2. tevékenység – Fizessen öt kevésbé szerencsés gyerekért, hogy elmenjenek a Dominosba, a KFC-be vagy a Pizza Hutba.
• 3. tevékenység – Fizesse ki egy szerencsétlen személy orvosi számláját, aki sürgős kezelésre szorul, de nincs rá pénze.

Meg kell jegyezni, hogy a fenyegetés elemzése során a CloudSEK több olyan kapcsolatot fedezett fel, amelyek arra utalnak, hogy a GoodWill Ransomware üzemeltetői Indiából származnak. A bizonyítékok egy Indiába visszavezethető e-mail címből, hindi nyelvű szavakat tartalmazó karakterláncokból és két IP-címből állnak, amelyek Mumbaiban (India) találhatók.