GoodWill Ransomware

Në pamje të parë, kërcënimi GoodWill Ransomware duket të jetë një tjetër malware i dëmshëm i krijuar për të bllokuar të dhënat e viktimave të tij. Dhe, me të vërtetë, kërcënimi është plotësisht i aftë ta bëjë këtë. I shkruar në .NET, GoodWill Ransomware përdor algoritmin kriptografik AES për të enkriptuar shumë lloje të rëndësishme skedarësh në pajisjet e shkelura. Skedarët e prekur përfshijnë bazat e të dhënave, fotografitë, dokumentet, arkivat, etj. Kërcënimi gjithashtu hyn në modalitetin e gjumit për 722,45 sekonda, si një mënyrë për të penguar çdo përpjekje për analizë dinamike.

Megjithatë, kur studiuesit nga firma e analizës së kërcënimeve CloudSEK ekzaminuan shënimin e shpërblimit të GoodWill Ransomware, ata zbuluan diçka të pazakontë. Në vend të udhëzimeve tipike se si të bëjnë një pagesë shpërblim për kriminelët kibernetikë, shënimi me shumë faqe i GoodWill u kërkon përdoruesve të bëjnë 3 veprime bamirësie. Pas përfundimit të çdo hapi, viktimave u kërkohet të postojnë selfie dhe të ndajnë përvojën në llogaritë e tyre të mediave sociale. Operatorët e GoodWill Ransomware do të verifikojnë që çdo detyrë është kryer dhe do të premtojnë t'u dërgojnë viktimave të tyre një çantë të plotë deshifrimi të përbërë nga një mjet softuerësh, skedar fjalëkalimi dhe një video tutorial. Sa i përket tre akteve bujare të përshkruara në shënim, ato janë:

• Aktiviteti 1 - Dhuroni rroba për të pastrehët
• Aktiviteti 2 - Paguani pesë fëmijë me më pak fat që të shkojnë në Dominos, KFC ose Pizza Hut.
• Aktiviteti 3 - Paguani faturën mjekësore të një personi fatkeq që ka nevojë urgjente për trajtim, por nuk ka fonde për të.

Duhet të theksohet se gjatë analizës së tyre të kërcënimit, CloudSEK zbuloi lidhje të shumta që drejtojnë drejt operatorëve të GoodWill Ransomware që ishin nga India. Dëshmia përbëhet nga një adresë emaili e gjurmuar në Indi, ekzistenca e vargjeve që përmbajnë fjalë në hindisht dhe dy adresa IP që ndodheshin në Mumbai, Indi.