GoodWill Ransomware

Thoạt nhìn, mối đe dọa GoodWill Ransomware dường như là một phần mềm độc hại có hại khác được thiết kế để khóa dữ liệu của nạn nhân. Và, thực sự, mối đe dọa hoàn toàn có khả năng làm được điều đó. Được viết bằng .NET, GoodWill Ransomware sử dụng thuật toán mật mã AES để mã hóa nhiều loại tệp quan trọng trên các thiết bị bị xâm phạm. Các tệp bị ảnh hưởng bao gồm cơ sở dữ liệu, hình ảnh, tài liệu, kho lưu trữ, v.v. Mối đe dọa cũng chuyển sang chế độ ngủ trong 722,45 giây, như một cách để cản trở bất kỳ nỗ lực phân tích động nào.

Tuy nhiên, khi các nhà nghiên cứu từ công ty phân tích mối đe dọa CloudSEK kiểm tra ghi chú đòi tiền chuộc của GoodWill Ransomware, họ đã phát hiện ra điều bất thường. Thay vì hướng dẫn điển hình về cách thanh toán tiền chuộc cho tội phạm mạng, ghi chú nhiều trang của GoodWill yêu cầu người dùng thực hiện 3 hành động từ thiện. Sau khi hoàn thành mỗi bước, nạn nhân được yêu cầu đăng ảnh tự chụp và chia sẻ trải nghiệm trên tài khoản mạng xã hội của họ. Các nhà điều hành của GoodWill Ransomware sẽ xác minh rằng từng tác vụ đã được thực hiện và hứa sẽ gửi một bộ giải mã đầy đủ bao gồm một công cụ phần mềm, tệp mật khẩu và video hướng dẫn cho nạn nhân của họ. Đối với ba hành động hào phóng được mô tả trong ghi chú, đó là:

• Hoạt động 1 - Quyên góp quần áo cho người vô gia cư
• Hoạt động 2 - Trả tiền cho năm đứa trẻ kém may mắn đi đến Dominos, KFC hoặc Pizza Hut.
• Hoạt động 3 - Thanh toán hóa đơn y tế của một người không may đang cần điều trị khẩn cấp nhưng không có tiền.

Cần lưu ý rằng trong quá trình phân tích mối đe dọa, CloudSEK đã phát hiện ra nhiều kết nối hướng tới các nhà điều hành của GoodWill Ransomware đến từ Ấn Độ. Bằng chứng bao gồm một địa chỉ email có nguồn gốc từ Ấn Độ, sự tồn tại của các chuỗi chứa các từ bằng tiếng Hindi và hai địa chỉ IP được đặt tại Mumbai, Ấn Độ.