GoodWill-ransomware

Op het eerste gezicht lijkt de GoodWill Ransomware-dreiging de zoveelste schadelijke malware te zijn die is ontworpen om de gegevens van zijn slachtoffers te vergrendelen. En inderdaad, de dreiging is daar perfect toe in staat. De GoodWill Ransomware, geschreven in .NET, maakt gebruik van het AES-cryptografische algoritme om tal van belangrijke bestandstypen op gehackte apparaten te versleutelen. De getroffen bestanden omvatten databases, afbeeldingen, documenten, archieven, enz. De dreiging gaat ook 722,45 seconden in de slaapstand, als een manier om dynamische analysepogingen te belemmeren.

Toen onderzoekers van het dreigingsanalysebedrijf CloudSEK de losgeldbrief van GoodWill Ransomware onderzochten, ontdekten ze echter iets ongewoons. In plaats van de gebruikelijke instructies voor het betalen van losgeld aan de cybercriminelen, verzoekt GoodWills notitie van meerdere pagina's gebruikers om 3 liefdadigheidsacties te doen. Na het voltooien van elke stap wordt slachtoffers gevraagd om selfies te plaatsen en de ervaring te delen op hun sociale media-accounts. De operators van de GoodWill Ransomware zullen controleren of elke taak is uitgevoerd en beloven hun slachtoffers een volledige decoderingskit te sturen, bestaande uit een softwaretool, wachtwoordbestand en een videozelfstudie. De drie genereuze handelingen die in de notitie worden beschreven, zijn:

• Activiteit 1 - Doneer kleding aan daklozen
• Activiteit 2 - Betaal voor vijf minder bedeelde kinderen om naar Dominos, KFC of Pizza Hut te gaan.
• Activiteit 3 - Betaal de medische rekening van een ongelukkig persoon die dringend behandeld moet worden, maar er niet het geld voor heeft.

Opgemerkt moet worden dat CloudSEK tijdens hun analyse van de dreiging meerdere verbindingen ontdekte die erop wijzen dat de operators van de GoodWill Ransomware uit India komen. Het bewijs bestaat uit een e-mailadres dat terug te voeren is op India, het bestaan van strings met woorden in het Hindi en twee IP-adressen die zich in Mumbai, India bevonden.