GoodWill Ransomware
Sa unang tingin, ang banta ng GoodWill Ransomware ay lumilitaw na isa pang mapaminsalang malware na idinisenyo upang i-lock ang data ng mga biktima nito. At, sa katunayan, ang banta ay ganap na kayang gawin iyon. Nakasulat sa .NET, ang GoodWill Ransomware ay gumagamit ng AES cryptographic algorithm upang i-encrypt ang maraming mahahalagang uri ng file sa mga nalabag na device. Kasama sa mga apektadong file ang mga database, larawan, dokumento, archive, atbp. Ang banta ay pumapasok din sa sleep mode sa loob ng 722.45 segundo, bilang isang paraan upang hadlangan ang anumang mga dynamic na pagtatangka sa pagsusuri.
Gayunpaman, nang suriin ng mga mananaliksik mula sa firm analysis ng pagbabanta na CloudSEK ang ransom note ng GoodWill Ransomware, natuklasan nila ang isang bagay na hindi karaniwan. Sa halip na ang karaniwang mga tagubilin kung paano magbayad ng ransom sa mga cybercriminal, hinihiling ng multi-page na tala ng GoodWill ang mga user na gumawa ng 3 kawanggawa na pagkilos. Pagkatapos makumpleto ang bawat hakbang, hinihiling sa mga biktima na mag-post ng mga selfie at ibahagi ang karanasan sa kanilang mga social media account. Ang mga operator ng GoodWill Ransomware ay magpapatunay na ang bawat gawain ay naisagawa at nangangako na magpapadala ng isang buong decryption kit na binubuo ng isang software tool, password file at isang video tutorial sa kanilang mga biktima. Kung tungkol sa tatlong mapagbigay na gawa na inilarawan sa tala, ang mga ito ay:
- Gawain 1 - Mag-donate ng mga damit sa mga walang tirahan
- Aktibidad 2 - Magbayad para sa limang batang mas kapos-palad upang pumunta sa Dominos, KFC o Pizza Hut.
- Gawain 3 - Bayaran ang medikal na bayarin ng isang kapus-palad na tao na nangangailangan ng agarang paggamot ngunit walang pondo para dito.
Dapat tandaan na sa kanilang pagsusuri sa banta, natuklasan ng CloudSEK ang maraming koneksyon na tumuturo sa mga operator ng GoodWill Ransomware na mula sa India. Ang katibayan ay binubuo ng isang email address na nasubaybayan pabalik sa India, ang pagkakaroon ng mga string na naglalaman ng mga salita sa Hindi, at dalawang IP address na matatagpuan sa Mumbai, India.
