GoodWill Ransomware

Na prvi pogled se zdi, da je grožnja GoodWill Ransomware še ena škodljiva zlonamerna programska oprema, namenjena zaklepanju podatkov svojih žrtev. In res, grožnja je to popolnoma sposobna narediti. Program GoodWill Ransomware, napisan v .NET, uporablja kriptografski algoritem AES za šifriranje številnih pomembnih vrst datotek na vdrtih napravah. Prizadete datoteke vključujejo baze podatkov, slike, dokumente, arhive itd. Grožnja tudi preide v stanje mirovanja za 722,45 sekunde, da bi preprečila kakršne koli poskuse dinamične analize.

Ko pa so raziskovalci iz podjetja za analizo groženj CloudSEK pregledali odkupnino GoodWill Ransomware, so odkrili nekaj nenavadnega. Namesto tipičnih navodil za plačilo odkupnine kibernetskim kriminalcem, GoodWill-ovo večstransko sporočilo od uporabnikov zahteva, da opravijo 3 dobrodelne akcije. Po zaključku vsakega koraka so žrtve pozvane, da objavijo selfije in delijo izkušnjo na svojih računih v družbenih medijih. Upravljavci GoodWill Ransomware bodo preverili, ali je bila vsaka naloga opravljena, in obljubili, da bodo žrtvam poslali popoln komplet za dešifriranje, ki bo sestavljen iz programskega orodja, datoteke z geslom in video vadnice. Kar zadeva tri velikodušna dejanja, opisana v opombi, so:

• 1. aktivnost - Podari oblačila brezdomcem
• 2. dejavnost – Plačajte petim manj srečnim otrokom, da gredo v Dominos, KFC ali Pizza Hut.
• 3. aktivnost – Plačajte zdravniški račun nesrečne osebe, ki nujno potrebuje zdravljenje, a za to nima sredstev.

Opozoriti je treba, da je CloudSEK med analizo grožnje odkril več povezav, ki kažejo na operaterje GoodWill Ransomware, ki so iz Indije. Dokazi so sestavljeni iz e-poštnega naslova, ki se nahaja v Indiji, obstoja nizov, ki vsebujejo besede v hindijščini, in dveh naslovov IP, ki sta bila v Mumbaju v Indiji.