GoodWill 勒索軟件
乍一看,GoodWill Ransomware 威脅似乎是另一種旨在鎖定受害者數據的有害惡意軟件。事實上,威脅完全有能力做到這一點。 GoodWill Ransomware 以 .NET 編寫,利用 AES 加密算法對被入侵設備上的許多重要文件類型進行加密。受影響的文件包括數據庫、圖片、文檔、檔案等。威脅還會進入睡眠模式 722.45 秒,以阻止任何動態分析嘗試。
然而,當威脅分析公司 CloudSEK 的研究人員檢查 GoodWill Ransomware 的贖金記錄時,他們發現了一些不尋常的東西。與如何向網絡犯罪分子支付贖金的典型說明不同,GoodWill 的多頁說明要求用戶進行 3 項慈善行動。完成每個步驟後,受害者被要求發布自拍照並在他們的社交媒體賬戶上分享經驗。 GoodWill Ransomware 的運營商將驗證每項任務是否已執行,並承諾向受害者發送包含軟件工具、密碼文件和視頻教程的完整解密工具包。至於筆記中描述的三種慷慨行為,它們是:
- 活動一 - 為無家可歸者捐贈衣服
- 活動 2 - 支付五個不太幸運的孩子去多米諾骨牌、肯德基或必勝客。
- 活動 3 - 為急需治療但沒有資金的不幸者支付醫療費用。
應該指出的是,在分析威脅期間,CloudSEK 發現了多個連接,這些連接指向來自印度的 GoodWill 勒索軟件的運營商。證據包括一個追溯到印度的電子郵件地址、包含印地語單詞的字符串以及位於印度孟買的兩個 IP 地址。
