GoodWill Ransomware

Pada pandangan pertama, ancaman GoodWill Ransomware nampaknya merupakan satu lagi perisian hasad berbahaya yang direka untuk mengunci data mangsanya. Dan, sememangnya, ancaman itu mampu melakukannya dengan sempurna. Ditulis dalam .NET, GoodWill Ransomware menggunakan algoritma kriptografi AES untuk menyulitkan pelbagai jenis fail penting pada peranti yang dilanggar. Fail yang terjejas termasuk pangkalan data, gambar, dokumen, arkib, dll. Ancaman juga memasuki mod tidur selama 722.45 saat, sebagai cara untuk menghalang sebarang percubaan analisis dinamik.

Walau bagaimanapun, apabila penyelidik dari firma analisis ancaman CloudSEK memeriksa nota tebusan GoodWill Ransomware, mereka menemui sesuatu yang luar biasa. Daripada arahan biasa tentang cara membuat pembayaran tebusan kepada penjenayah siber, nota berbilang halaman GoodWill meminta pengguna melakukan 3 tindakan amal. Selepas melengkapkan setiap langkah, mangsa diminta untuk menyiarkan swafoto dan berkongsi pengalaman di akaun media sosial mereka. Pengendali GoodWill Ransomware akan mengesahkan bahawa setiap tugas telah dilaksanakan dan berjanji untuk menghantar kit penyahsulitan penuh yang terdiri daripada alat perisian, fail kata laluan dan tutorial video kepada mangsa mereka. Adapun tiga perbuatan dermawan yang diterangkan dalam nota itu ialah:

• Aktiviti 1 - Menderma pakaian kepada gelandangan
• Aktiviti 2 - Bayar lima kanak-kanak yang kurang bernasib baik untuk pergi ke Dominos, KFC atau Pizza Hut.
• Aktiviti 3 - Bayar bil perubatan orang malang yang memerlukan rawatan segera tetapi tidak mempunyai dana untuk itu.

Perlu diingat bahawa semasa analisis ancaman mereka, CloudSEK menemui pelbagai sambungan yang menghala ke arah pengendali GoodWill Ransomware yang berasal dari India. Buktinya terdiri daripada alamat e-mel yang dikesan kembali ke India, kewujudan rentetan yang mengandungi perkataan dalam bahasa Hindi, dan dua alamat IP yang terletak di Mumbai, India.