GoodWill Ransomware

Iš pirmo žvilgsnio atrodo, kad GoodWill Ransomware grėsmė yra dar viena žalinga kenkėjiška programa, skirta užrakinti jos aukų duomenis. Ir iš tiesų, grėsmė puikiai gali tai padaryti. Parašyta .NET, GoodWill Ransomware naudoja AES kriptografinį algoritmą, kad užšifruotų daugybę svarbių failų tipų pažeistuose įrenginiuose. Paveikti failai apima duomenų bazes, paveikslėlius, dokumentus, archyvus ir t. t. Grėsmė taip pat pereina į miego režimą 722,45 sekundės, kad sutrukdytų bet kokiems dinaminės analizės bandymams.

Tačiau kai grėsmių analizės įmonės „CloudSEK“ mokslininkai ištyrė „GoodWill Ransomware“ išpirkos raštą, jie atrado kažką neįprasto. Vietoj įprastų instrukcijų, kaip sumokėti išpirką kibernetiniams nusikaltėliams, kelių puslapių „GoodWill“ pastaboje naudotojai prašomi atlikti 3 labdaros veiksmus. Atlikus kiekvieną žingsnį, aukų prašoma paskelbti asmenukes ir pasidalinti patirtimi savo socialinių tinklų paskyrose. „GoodWill Ransomware“ operatoriai patikrins, ar kiekviena užduotis buvo atlikta, ir pažada savo aukoms išsiųsti visą iššifravimo rinkinį, kurį sudaro programinės įrangos įrankis, slaptažodžio failas ir vaizdo pamoka. Kalbant apie tris raštelyje aprašytus dosnius veiksmus, jie yra:

• 1 užsiėmimas – dovanokite drabužius benamiams
• 2 užsiėmimas – mokėkite už penkis mažiau pasisekusius vaikus, kurie nukeliautų į Dominos, KFC ar Pizza Hut.
• 3 užsiėmimas – apmokėkite medicininę sąskaitą nelaimingam asmeniui, kuriam skubiai reikia gydymo, bet jis neturi tam lėšų.

Reikėtų pažymėti, kad atlikdama grėsmės analizę „CloudSEK“ aptiko daugybę ryšių, rodančių, kad „GoodWill Ransomware“ operatoriai yra iš Indijos. Įrodymus sudaro el. pašto adresas, atsektas iki Indijos, eilučių su žodžiais hindi kalba ir du IP adresai, esantys Mumbajuje, Indijoje.