GoodWill Ransomware

เมื่อมองแวบแรก ภัยคุกคาม GoodWill Ransomware ดูเหมือนจะเป็นมัลแวร์อันตรายอีกตัวหนึ่งที่ออกแบบมาเพื่อล็อคข้อมูลของเหยื่อ และแน่นอนว่าภัยคุกคามนั้นสามารถทำได้อย่างสมบูรณ์ GoodWill Ransomware เขียนใน .NET ใช้อัลกอริธึมการเข้ารหัส AES เพื่อเข้ารหัสไฟล์สำคัญหลายประเภทบนอุปกรณ์ที่ถูกละเมิด ไฟล์ที่ได้รับผลกระทบ ได้แก่ ฐานข้อมูล รูปภาพ เอกสาร ไฟล์เก็บถาวร ฯลฯ ภัยคุกคามจะเข้าสู่โหมดสลีปเป็นเวลา 722.45 วินาที เพื่อขัดขวางความพยายามในการวิเคราะห์แบบไดนามิก

อย่างไรก็ตาม เมื่อนักวิจัยจากบริษัทวิเคราะห์ภัยคุกคาม CloudSEK ตรวจสอบบันทึกเรียกค่าไถ่ของ GoodWill Ransomware พวกเขาค้นพบสิ่งผิดปกติ แทนที่จะเป็นคำแนะนำทั่วไปเกี่ยวกับวิธีการชำระเงินค่าไถ่ให้กับอาชญากรไซเบอร์ บันทึกย่อหลายหน้าของ GoodWill จะขอให้ผู้ใช้ดำเนินการการกุศล 3 อย่าง หลังจากเสร็จสิ้นแต่ละขั้นตอนแล้ว เหยื่อจะถูกขอให้โพสต์ภาพเซลฟี่และแบ่งปันประสบการณ์บนบัญชีโซเชียลมีเดียของพวกเขา ผู้ดำเนินการ GoodWill Ransomware จะตรวจสอบว่าแต่ละงานได้รับการดำเนินการแล้ว และสัญญาว่าจะส่งชุดถอดรหัสที่สมบูรณ์ซึ่งประกอบด้วยเครื่องมือซอฟต์แวร์ ไฟล์รหัสผ่าน และวิดีโอสอนการใช้งานให้กับผู้ที่ตกเป็นเหยื่อ สำหรับการกระทำที่เอื้อเฟื้อเผื่อแผ่สามประการที่อธิบายไว้ในบันทึกย่อคือ:

• กิจกรรมที่ 1 - บริจาคเสื้อผ้าให้คนไร้บ้าน
• กิจกรรมที่ 2 - จ่ายให้เด็กที่ด้อยโอกาส 5 คนไปร้าน Dominos, KFC หรือ Pizza Hut
• กิจกรรมที่ 3 - ชำระบิลค่ารักษาพยาบาลของผู้เคราะห์ร้ายที่ต้องการการรักษาอย่างเร่งด่วน แต่ไม่มีเงินทุน

ควรสังเกตว่าในระหว่างการวิเคราะห์ภัยคุกคาม CloudSEK ได้ค้นพบการเชื่อมต่อหลายจุดซึ่งชี้ไปที่ตัวดำเนินการของ GoodWill Ransomware ที่มาจากอินเดีย หลักฐานประกอบด้วยที่อยู่อีเมลที่สืบย้อนไปถึงอินเดีย การมีอยู่ของสตริงที่มีคำในภาษาฮินดี และที่อยู่ IP สองแห่งที่อยู่ในมุมไบ ประเทศอินเดีย