ГоодВилл Рансомваре

На први поглед изгледа да је претња ГоодВилл Рансомваре још један штетни злонамерни софтвер дизајниран да закључа податке својих жртава. И заиста, претња је савршено способна за то. Написан у .НЕТ-у, ГоодВилл Рансомваре користи АЕС криптографски алгоритам за шифровање бројних важних типова датотека на оштећеним уређајима. Погођене датотеке укључују базе података, слике, документе, архиве, итд. Претња такође улази у режим мировања на 722,45 секунди, као начин да спречи покушаје динамичке анализе.

Међутим, када су истраживачи из компаније за анализу претњи ЦлоудСЕК прегледали обавештење о откупнини ГоодВилл Рансомваре-а, открили су нешто необично. Уместо типичних упутстава о томе како да уплатите откупнину сајбер криминалцима, ГоодВилл-ова белешка на више страница тражи од корисника да ураде 3 добротворне акције. Након што заврше сваки корак, од жртава се тражи да објаве селфије и поделе искуство на својим налозима на друштвеним мрежама. Оператери ГоодВилл Рансомваре-а ће потврдити да је сваки задатак обављен и обећавају да ће послати пуни комплет за дешифровање који се састоји од софтверског алата, датотеке лозинке и видео упутства за своје жртве. Што се тиче три великодушна дела описана у белешци, то су:

• Активност 1 - Донирајте одећу бескућницима
• Активност 2 - Платите за петоро мање срећне деце да оду у Доминос, КФЦ или Пизза Хут.
• Активност 3 - Платите медицински рачун несрећне особе којој је хитно потребно лечење, али нема средстава за то.

Треба напоменути да је током њихове анализе претње, ЦлоудСЕК открио више веза које указују на то да су оператери ГоодВилл Рансомваре-а из Индије. Докази се састоје од адресе е-поште која се налази у Индији, постојања низова који садрже речи на хиндију и две ИП адресе које су се налазиле у Мумбају, Индија.