Ransomware GoodWill

Na prvý pohľad sa hrozba GoodWill Ransomware javí ako ďalší škodlivý malvér určený na uzamknutie údajov svojich obetí. A skutočne, hrozba je toho dokonale schopná. GoodWill Ransomware, napísaný v .NET, využíva kryptografický algoritmus AES na šifrovanie mnohých dôležitých typov súborov na narušených zariadeniach. Ovplyvnené súbory zahŕňajú databázy, obrázky, dokumenty, archívy atď. Hrozba tiež prejde do režimu spánku na 722,45 sekundy, čo predstavuje spôsob, ako zabrániť pokusom o dynamickú analýzu.

Keď však výskumníci z firmy CloudSEK zaoberajúcej sa analýzou hrozieb preskúmali výkupné od GoodWill Ransomware, objavili niečo nezvyčajné. Namiesto typických inštrukcií, ako zaplatiť kyberzločincom výkupné, niekoľkostranová poznámka spoločnosti GoodWill žiada používateľov, aby vykonali 3 charitatívne akcie. Po dokončení každého kroku sú obete požiadané, aby uverejnili selfie a zdieľali skúsenosti na svojich účtoch sociálnych médií. Prevádzkovatelia GoodWill Ransomware overia, že každá úloha bola vykonaná a sľúbia, že svojim obetiam pošlú kompletnú dešifrovaciu súpravu pozostávajúcu zo softvérového nástroja, súboru s heslom a videonávodu. Pokiaľ ide o tri veľkorysé činy opísané v poznámke, sú to:

• Aktivita 1 – Darujte oblečenie bezdomovcom
• Aktivita 2 – Zaplaťte za päť menej šťastných detí, aby mohli ísť do Dominos, KFC alebo Pizza Hut.
• Aktivita 3 – Zaplaťte lekársky účet nešťastnému človeku, ktorý urgentne potrebuje ošetrenie, no nemá naň financie.

Je potrebné poznamenať, že CloudSEK počas analýzy hrozby objavil viacero spojení, ktoré poukazujú na to, že operátori GoodWill Ransomware pochádzajú z Indie. Dôkazy pozostávajú z e-mailovej adresy vysledovanej do Indie, existencie reťazcov obsahujúcich slová v hindčine a dvoch IP adries, ktoré sa nachádzali v Bombaji v Indii.