Dobra wola Ransomware

Na pierwszy rzut oka zagrożenie GoodWill Ransomware wydaje się być kolejnym szkodliwym złośliwym oprogramowaniem zaprojektowanym w celu blokowania danych swoich ofiar. I rzeczywiście, zagrożenie jest w stanie to zrobić. Napisany w .NET, GoodWill Ransomware wykorzystuje algorytm kryptograficzny AES do szyfrowania wielu ważnych typów plików na zhakowanych urządzeniach. Zagrożone pliki obejmują bazy danych, zdjęcia, dokumenty, archiwa itp. Zagrożenie przechodzi również w tryb uśpienia na 722,45 sekundy, aby utrudnić wszelkie próby analizy dynamicznej.

Jednak, gdy badacze z firmy CloudSEK zajmującej się analizą zagrożeń, zbadali żądanie okupu GoodWill Ransomware, odkryli coś niezwykłego. Zamiast typowych instrukcji, jak zapłacić cyberprzestępcom okup, wielostronicowa notatka GoodWill prosi użytkowników o wykonanie 3 akcji charytatywnych. Po wykonaniu każdego kroku ofiary proszone są o opublikowanie selfie i podzielenie się wrażeniami na swoich kontach w mediach społecznościowych. Operatorzy GoodWill Ransomware zweryfikują, czy każde zadanie zostało wykonane, i obiecują wysłać swoim ofiarom pełny zestaw do deszyfrowania, składający się z narzędzia programowego, pliku hasła i samouczka wideo. Jeśli chodzi o trzy hojne akty opisane w przypisie, są to:

• Ćwiczenie 1 – Przekaż ubrania bezdomnym
• Ćwiczenie 2 – Zapłać za pięć mniej szczęśliwych dzieciaków, aby poszły do Dominos, KFC lub Pizza Hut.
• Ćwiczenie 3 – Opłać rachunek za leczenie nieszczęśliwej osoby, która pilnie potrzebuje leczenia, ale nie ma na to środków.

Należy zauważyć, że podczas analizy zagrożenia CloudSEK wykrył wiele połączeń, które wskazują na operatorów GoodWill Ransomware pochodzących z Indii. Dowody obejmują adres e-mail z Indii, istnienie ciągów zawierających słowa w języku hindi oraz dwa adresy IP, które znajdowały się w Bombaju w Indiach.