GoodWill Ransomware

La prima vedere, amenințarea GoodWill Ransomware pare a fi încă un alt malware dăunător conceput pentru a bloca datele victimelor sale. Și, într-adevăr, amenințarea este perfect capabilă să facă asta. Scris în .NET, GoodWill Ransomware utilizează algoritmul criptografic AES pentru a cripta numeroase tipuri de fișiere importante pe dispozitivele încălcate. Fișierele afectate includ baze de date, imagini, documente, arhive etc. Amenințarea intră, de asemenea, în modul de repaus pentru 722,45 secunde, ca o modalitate de a împiedica orice încercare de analiză dinamică.

Cu toate acestea, când cercetătorii de la firma de analiză a amenințărilor CloudSEK au examinat nota de răscumpărare a GoodWill Ransomware, au descoperit ceva neobișnuit. În loc de instrucțiunile tipice despre cum să plătească o răscumpărare infractorilor cibernetici, nota pe mai multe pagini a GoodWill solicită utilizatorilor să facă 3 acțiuni caritabile. După parcurgerea fiecărui pas, victimelor li se cere să posteze selfie-uri și să împărtășească experiența pe conturile lor de pe rețelele sociale. Operatorii GoodWill Ransomware vor verifica dacă fiecare sarcină a fost îndeplinită și vor promite că vor trimite victimelor un kit complet de decriptare constând dintr-un instrument software, fișier de parolă și un tutorial video. În ceea ce privește cele trei acte generoase descrise în notă, acestea sunt:

• Activitatea 1 - Donează haine celor fără adăpost
• Activitatea 2 - Plătește pentru cinci copii mai puțin norocoși pentru a merge la Dominos, KFC sau Pizza Hut.
• Activitatea 3 - Plătiți factura medicală a unei persoane nefericite care are nevoie urgentă de tratament, dar nu are fondurile pentru aceasta.

Trebuie menționat că în timpul analizei amenințării, CloudSEK a descoperit mai multe conexiuni care indică către operatorii GoodWill Ransomware din India. Dovezile constau într-o adresă de e-mail care se găsește în India, existența unor șiruri de caractere care conțin cuvinte în hindi și două adrese IP care se aflau în Mumbai, India.