GoodWill Ransomware

À primeira vista, a ameaça GoodWill Ransomware parece ser mais um malware prejudicial projetado para bloquear os dados de suas vítimas. E, de fato, a ameaça é perfeitamente capaz de fazer isso. Escrito em .NET, o GoodWill Ransomware utiliza o algoritmo criptográfico AES para criptografar vários tipos de arquivos importantes em dispositivos violados. Os arquivos afetados incluem bancos de dados, imagens, documentos, arquivos, etc. A ameaça também entra no modo de suspensão por 722,45 segundos, como forma de dificultar qualquer tentativa de análise dinâmica.

No entanto, quando pesquisadores da empresa de análise de ameaças CloudSEK examinaram a nota de resgate do GoodWill Ransomware, descobriram algo incomum. Em vez das instruções típicas sobre como fazer um pagamento de resgate aos cibercriminosos, a nota de várias páginas da GoodWill solicita que os usuários façam 3 ações de caridade. Depois de concluir cada etapa, as vítimas são solicitadas a postar selfies e compartilhar a experiência em suas contas de mídia social. Os operadores do GoodWill Ransomware verificarão se cada tarefa foi executada e prometem enviar um kit de descriptografia completo composto por uma ferramenta de software, arquivo de senha e um tutorial em vídeo para suas vítimas. Quanto aos três atos generosos descritos na nota, são eles:

• Atividade 1 - Doar roupas para os sem-teto
• Atividade 2 - Pagar para cinco crianças menos afortunadas irem ao Dominos, KFC ou Pizza Hut.
• Atividade 3 - Pagar a conta médica de uma pessoa infeliz que precisa urgentemente de tratamento, mas não tem dinheiro para isso.

Deve-se notar que, durante a análise da ameaça, o CloudSEK descobriu várias conexões que apontam para os operadores do GoodWill Ransomware sendo da Índia. A evidência consiste em um endereço de e-mail rastreado até a Índia, a existência de strings contendo palavras em hindi e dois endereços IP localizados em Mumbai, na Índia.