GoodWill Ransomware

No pirmā acu uzmetiena šķiet, ka GoodWill Ransomware draudi ir vēl viena kaitīga ļaunprātīga programmatūra, kas paredzēta upuru datu bloķēšanai. Un patiešām draudi to lieliski spēj. NET, GoodWill Ransomware izmanto AES kriptogrāfisko algoritmu, lai šifrētu daudzus svarīgus failu tipus bojātajās ierīcēs. Ietekmētie faili ietver datu bāzes, attēlus, dokumentus, arhīvus utt. Draudi arī pāriet miega režīmā uz 722,45 sekundēm, tādējādi kavējot dinamiskās analīzes mēģinājumus.

Tomēr, kad pētnieki no draudu analīzes uzņēmuma CloudSEK pārbaudīja GoodWill Ransomware izpirkuma maksu, viņi atklāja kaut ko neparastu. Tipisko norādījumu vietā, kā veikt izpirkuma maksu kibernoziedzniekiem, GoodWill vairāku lappušu piezīme aicina lietotājus veikt 3 labdarības darbības. Pēc katras darbības veikšanas upuri tiek aicināti ievietot pašbildes un dalīties pieredzē savos sociālo tīklu kontos. GoodWill Ransomware operatori pārbaudīs, vai katrs uzdevums ir izpildīts, un sola saviem upuriem nosūtīt pilnu atšifrēšanas komplektu, kas sastāv no programmatūras rīka, paroles faila un video pamācības. Kas attiecas uz piezīmē aprakstītajām trim dāsnajām darbībām, tās ir:

• 1. aktivitāte – ziedojiet drēbes bezpajumtniekiem
• 2. aktivitāte. Maksājiet par pieciem mazāk laimīgiem bērniem, lai viņi dotos uz Dominos, KFC vai Pizza Hut.
• 3. aktivitāte. Apmaksājiet medicīnisko rēķinu nelaimīgai personai, kurai steidzami nepieciešama ārstēšana, bet tai nav līdzekļu.

Jāatzīmē, ka, analizējot draudus, CloudSEK atklāja vairākus savienojumus, kas norāda uz GoodWill Ransomware operatoriem no Indijas. Pierādījumi sastāv no e-pasta adreses, kas izsekots Indijā, virknes, kurās ir vārdi hindi valodā, un divas IP adreses, kas atradās Mumbajā, Indijā.