GoodWill 勒索软件
乍一看,GoodWill Ransomware 威胁似乎是另一种旨在锁定受害者数据的有害恶意软件。事实上,威胁完全有能力做到这一点。 GoodWill Ransomware 以 .NET 编写,利用 AES 加密算法对被入侵设备上的许多重要文件类型进行加密。受影响的文件包括数据库、图片、文档、档案等。威胁还会进入睡眠模式 722.45 秒,以阻止任何动态分析尝试。
然而,当威胁分析公司 CloudSEK 的研究人员检查 GoodWill Ransomware 的赎金记录时,他们发现了一些不寻常的东西。与如何向网络犯罪分子支付赎金的典型说明不同,GoodWill 的多页说明要求用户进行 3 项慈善行动。完成每个步骤后,受害者被要求发布自拍照并在他们的社交媒体账户上分享经验。 GoodWill Ransomware 的运营商将验证每项任务是否已执行,并承诺向受害者发送包含软件工具、密码文件和视频教程的完整解密工具包。至于笔记中描述的三种慷慨行为,它们是:
- 活动一 - 为无家可归者捐赠衣服
- 活动 2 - 支付五个不太幸运的孩子去多米诺骨牌、肯德基或必胜客。
- 活动 3 - 为急需治疗但没有资金的不幸者支付医疗费用。
应该指出的是,在分析威胁期间,CloudSEK 发现了多个连接,这些连接指向来自印度的 GoodWill 勒索软件的运营商。证据包括一个追溯到印度的电子邮件地址、包含印地语单词的字符串以及位于印度孟买的两个 IP 地址。
