GoodWill Ransomware

Ved første øyekast ser GoodWill Ransomware-trusselen ut til å være nok en skadelig skadelig programvare designet for å låse dataene til ofrene. Og trusselen er faktisk perfekt i stand til å gjøre det. GoodWill Ransomware er skrevet i .NET og bruker AES kryptografiske algoritme for å kryptere en rekke viktige filtyper på enheter som brytes. De berørte filene inkluderer databaser, bilder, dokumenter, arkiver osv. Trusselen går også i hvilemodus i 722,45 sekunder, som en måte å hindre ethvert dynamisk analyseforsøk.

Men da forskere fra trusselanalysefirmaet CloudSEK undersøkte GoodWill Ransomwares løsepenger, oppdaget de noe uvanlig. I stedet for de typiske instruksjonene om hvordan man betaler løsepenger til nettkriminelle, ber GoodWills flersidede notat brukere om å gjøre 3 veldedige handlinger. Etter å ha fullført hvert trinn, blir ofrene bedt om å legge ut selfier og dele opplevelsen på sine sosiale mediekontoer. Operatørene av GoodWill Ransomware vil verifisere at hver oppgave er utført og lover å sende et komplett dekrypteringssett bestående av et programvareverktøy, passordfil og en videoopplæring til ofrene deres. Når det gjelder de tre generøse handlingene som er beskrevet i notatet, er de:

• Aktivitet 1 - Gi klær til hjemløse
• Aktivitet 2 – Betal for fem mindre heldige barn for å gå til Dominos, KFC eller Pizza Hut.
• Aktivitet 3 - Betal den medisinske regningen til en uheldig person som har akutt behov for behandling, men ikke har midler til det.

Det skal bemerkes at under deres analyse av trusselen oppdaget CloudSEK flere forbindelser som peker mot at operatørene av GoodWill Ransomware er fra India. Beviset består av en e-postadresse sporet tilbake til India, eksistensen av strenger som inneholder ord på hindi, og to IP-adresser som var lokalisert i Mumbai, India.