GoodWill ransomware

A prima vista, la minaccia GoodWill Ransomware sembra essere l'ennesimo malware dannoso progettato per bloccare i dati delle sue vittime. E, in effetti, la minaccia è perfettamente in grado di farlo. Scritto in .NET, GoodWill Ransomware utilizza l'algoritmo crittografico AES per crittografare numerosi tipi di file importanti sui dispositivi violati. I file interessati includono database, immagini, documenti, archivi, ecc. La minaccia entra anche in modalità di sospensione per 722,45 secondi, in modo da ostacolare qualsiasi tentativo di analisi dinamica.

Tuttavia, quando i ricercatori della società di analisi delle minacce CloudSEK hanno esaminato la richiesta di riscatto di GoodWill Ransomware, hanno scoperto qualcosa di insolito. Invece delle tipiche istruzioni su come effettuare un pagamento di riscatto ai criminali informatici, la nota multipagina di GoodWill richiede agli utenti di eseguire 3 azioni di beneficenza. Dopo aver completato ogni passaggio, alle vittime viene chiesto di pubblicare selfie e condividere l'esperienza sui propri account di social media. Gli operatori di GoodWill Ransomware verificheranno che ogni attività sia stata eseguita e promettono di inviare un kit di decrittazione completo composto da uno strumento software, un file di password e un video tutorial alle loro vittime. Quanto ai tre atti generosi descritti nella nota, sono:

• Attività 1 - Donare vestiti ai senzatetto
• Attività 2 - Paga per cinque bambini meno fortunati che vadano a Dominos, KFC o Pizza Hut.
• Attività 3 - Pagare la fattura medica di uno sfortunato che ha urgente bisogno di cure ma non ha i fondi per farlo.

Va notato che durante la loro analisi della minaccia, CloudSEK ha scoperto più connessioni che puntano verso gli operatori di GoodWill Ransomware provenienti dall'India. Le prove consistono in un indirizzo e-mail che risale all'India, l'esistenza di stringhe contenenti parole in hindi e due indirizzi IP che si trovavano a Mumbai, in India.