İyi Niyet Fidye Yazılımı

İlk bakışta GoodWill Ransomware tehdidi, kurbanlarının verilerini kilitlemek için tasarlanmış başka bir zararlı kötü amaçlı yazılım gibi görünüyor. Ve gerçekten de, tehdit bunu mükemmel bir şekilde yapabilir. .NET'te yazılan GoodWill Ransomware, ihlal edilmiş cihazlarda çok sayıda önemli dosya türünü şifrelemek için AES şifreleme algoritmasını kullanır. Etkilenen dosyalar arasında veritabanları, resimler, belgeler, arşivler vb. bulunur. Tehdit ayrıca herhangi bir dinamik analiz girişimini engellemenin bir yolu olarak 722.45 saniye uyku moduna girer.

Ancak tehdit analiz firması CloudSEK'ten araştırmacılar GoodWill Ransomware'in fidye notunu incelediklerinde olağandışı bir şey keşfettiler. GoodWill'in çok sayfalı notunda, siber suçlulara nasıl fidye ödemesi yapılacağına ilişkin tipik talimatlar yerine, kullanıcılardan 3 hayır işi yapmaları isteniyor. Her adımı tamamladıktan sonra, mağdurlardan özçekimler göndermeleri ve deneyimlerini sosyal medya hesaplarında paylaşmaları isteniyor. GoodWill Ransomware operatörleri, her bir görevin gerçekleştirildiğini doğrulayacak ve kurbanlarına bir yazılım aracı, şifre dosyası ve bir video eğitiminden oluşan eksiksiz bir şifre çözme kiti göndermeye söz verecek. Notta açıklanan üç cömert davranışa gelince, bunlar:

• Etkinlik 1 - Evsizlere kıyafet bağışlayın
• Etkinlik 2 - Dominos, KFC veya Pizza Hut'a gitmek için daha az şanslı olan beş çocuğa ödeme yapın.
• Faaliyet 3 - Acil tedaviye ihtiyacı olan ancak bunun için parası olmayan talihsiz bir kişinin tıbbi faturasını ödeyin.

Tehdit analizi sırasında CloudSEK'in, GoodWill Ransomware operatörlerinin Hindistan'dan olduğuna işaret eden birden fazla bağlantı keşfettiğini belirtmek gerekir. Kanıt, Hindistan'a kadar uzanan bir e-posta adresinden, Hintçe kelimeler içeren dizelerin varlığından ve Hindistan'ın Mumbai kentinde bulunan iki IP adresinden oluşuyor.