GoodWill Ransomware

На перший погляд загроза GoodWill Ransomware здається ще одним шкідливим програмним забезпеченням, призначеним для блокування даних своїх жертв. І справді, загроза цілком здатна на це. Програма GoodWill Ransomware, написана на .NET, використовує криптографічний алгоритм AES для шифрування численних важливих типів файлів на зламаних пристроях. Уражені файли включають бази даних, зображення, документи, архіви тощо. Загроза також переходить у режим сну на 722,45 секунди, щоб перешкодити будь-яким спробам динамічного аналізу.

Однак, коли дослідники з фірми, що займається аналізом загроз CloudSEK, перевірили записку про викуп GoodWill Ransomware, вони виявили щось незвичайне. Замість типових інструкцій про те, як здійснити викуп кіберзлочинцям, багатосторінкова нотатка GoodWill просить користувачів зробити 3 благодійні акції. Після виконання кожного кроку жертв просять опублікувати селфі та поділитися досвідом у своїх акаунтах у соціальних мережах. Оператори GoodWill Ransomware перевірять, що кожне завдання виконано, і обіцяють надіслати своїм жертвам повний набір для дешифрування, що складається з програмного засобу, файлу пароля та відеоуроку. Що стосується трьох щедрих актів, описаних у примітці, то вони:

• Дія 1 – Пожертвуйте одяг бездомним
• Дія 2. Платіть за п’ятьох дітей, яким пощастило менше, щоб вони відвідали Dominos, KFC або Pizza Hut.
• Дія 3 – Оплатіть медичний рахунок нещасної людини, яка потребує термінового лікування, але не має на це коштів.

Слід зазначити, що під час аналізу загрози CloudSEK виявила кілька з’єднань, які вказують на операторів програми-вимагача GoodWill з Індії. Докази включають адресу електронної пошти з Індії, існування рядків, що містять слова на гінді, і дві IP-адреси, які були розташовані в Мумбаї, Індія.