Программа-вымогатель GoodWill

На первый взгляд угроза GoodWill Ransomware кажется еще одной вредоносной вредоносной программой, предназначенной для блокировки данных своих жертв. И действительно, угроза вполне на это способна. Программа-вымогатель GoodWill, написанная на .NET, использует криптографический алгоритм AES для шифрования множества важных типов файлов на взломанных устройствах. Пораженные файлы включают базы данных, изображения, документы, архивы и т. д. Угроза также переходит в спящий режим на 722,45 секунды, чтобы помешать любым попыткам динамического анализа.

Однако когда исследователи из компании CloudSEK, занимающейся анализом угроз, изучили записку GoodWill Ransomware с требованием выкупа, они обнаружили нечто необычное. Вместо типичных инструкций о том, как выплатить киберпреступникам выкуп, многостраничная заметка GoodWill предлагает пользователям совершить 3 благотворительных действия. После выполнения каждого шага жертв просят публиковать селфи и делиться опытом в своих учетных записях в социальных сетях. Операторы GoodWill Ransomware проверят выполнение каждой задачи и обещают отправить своим жертвам полный набор для расшифровки, состоящий из программного инструмента, файла пароля и видеоурока. Что касается трех щедрых поступков, описанных в примечании, то они таковы:

• Занятие 1 - Пожертвовать одежду бездомным
• Мероприятие 2. Заплатите пяти менее удачливым детям, чтобы они пошли в Dominos, KFC или Pizza Hut.
• Мероприятие 3 - Оплатите счет за лечение несчастного человека, который срочно нуждается в лечении, но не имеет на это средств.

Следует отметить, что в ходе анализа угрозы CloudSEK обнаружил несколько связей, которые указывают на то, что операторы программы-вымогателя GoodWill находятся в Индии. Доказательства состоят из адреса электронной почты, восходящего к Индии, наличия строк, содержащих слова на хинди, и двух IP-адресов, которые были расположены в Мумбаи, Индия.