GoodWill Ransomware

Vid första anblicken verkar GoodWill Ransomware-hotet vara ännu en skadlig skadlig programvara utformad för att låsa offrens data. Och faktiskt, hotet är fullt kapabelt att göra det. GoodWill Ransomware är skrivet i .NET och använder den kryptografiska AES-algoritmen för att kryptera många viktiga filtyper på enheter som har brutits. De berörda filerna inkluderar databaser, bilder, dokument, arkiv etc. Hotet går också in i viloläge i 722,45 sekunder, som ett sätt att hindra alla dynamiska analysförsök.

Men när forskare från hotanalysföretaget CloudSEK granskade GoodWill Ransomwares lösennota upptäckte de något ovanligt. Istället för de typiska instruktionerna om hur man gör en lösensumma till cyberbrottslingar, uppmanar GoodWills flersidiga anteckning användare att göra tre välgörande åtgärder. Efter att ha slutfört varje steg ombeds offren att lägga upp selfies och dela upplevelsen på sina sociala mediekonton. Operatörerna av GoodWill Ransomware kommer att verifiera att varje uppgift har utförts och lovar att skicka ett komplett dekrypteringspaket bestående av ett mjukvaruverktyg, lösenordsfil och en videohandledning till sina offer. När det gäller de tre generösa handlingar som beskrivs i anteckningen är de:

• Aktivitet 1 - Donera kläder till hemlösa
• Aktivitet 2 - Betala för att fem mindre lyckligt lottade barn ska åka till Dominos, KFC eller Pizza Hut.
• Aktivitet 3 - Betala läkarräkningen för en olycklig person som är i akut behov av behandling men inte har pengar för det.

Det bör noteras att under sin analys av hotet upptäckte CloudSEK flera kopplingar som pekar mot att operatörerna av GoodWill Ransomware kommer från Indien. Beviset består av en e-postadress som spåras tillbaka till Indien, förekomsten av strängar som innehåller ord på hindi och två IP-adresser som fanns i Mumbai, Indien.