굿윌 랜섬웨어

언뜻 보기에 GoodWill Ransomware 위협은 피해자의 데이터를 잠그도록 설계된 또 다른 유해한 맬웨어로 보입니다. 그리고 실제로 위협은 완벽하게 그렇게 할 수 있습니다. .NET으로 작성된 GoodWill Ransomware는 AES 암호화 알고리즘을 사용하여 침해된 장치에서 수많은 중요한 파일 유형을 암호화합니다. 영향을 받는 파일에는 데이터베이스, 사진, 문서, 아카이브 등이 포함됩니다. 위협은 또한 동적 분석 시도를 방해하기 위해 722.45초 동안 절전 모드에 들어갑니다.

그러나 위협 분석 회사인 CloudSEK의 연구원들이 GoodWill Ransomware의 랜섬 노트를 조사한 결과 특이한 점을 발견했습니다. 사이버 범죄자들에게 몸값을 지불하는 방법에 대한 일반적인 지침 대신 GoodWill의 여러 페이지 메모는 사용자에게 3가지 자선 활동을 수행하도록 요청합니다. 각 단계를 완료한 후 피해자는 셀카를 게시하고 소셜 미디어 계정에 경험을 공유해야 합니다. GoodWill Ransomware 운영자는 각 작업이 수행되었는지 확인하고 소프트웨어 도구, 암호 파일 및 비디오 자습서로 구성된 전체 암호 해독 키트를 피해자에게 보낼 것을 약속합니다. 메모에 기술된 세 가지 관대한 행위는 다음과 같습니다.

• 활동 1 - 노숙자에게 옷 기부하기
• 활동 2 - 불우한 다섯 아이가 도미노, KFC 또는 피자헛에 갈 수 있도록 비용을 지불하세요.
• 활동 3 - 급히 치료가 필요하지만 자금이 없는 불행한 사람의 의료비를 지불합니다.

위협을 분석하는 동안 CloudSEK는 인도에서 온 GoodWill Ransomware 운영자를 가리키는 여러 연결을 발견했습니다. 증거는 인도로 거슬러 올라가는 이메일 주소, 힌디어로 된 단어가 포함된 문자열의 존재, 인도 뭄바이에 위치한 두 개의 IP 주소로 구성됩니다.