GoodWill Ransomware forsøger at spille hos Robin Hood
GoodWill er en relativt ny ransomware-stamme analyseret af sikkerhedsforskere med CloudSEK.
Det, der især adskiller GoodWill fra de fleste andre ransomware-kloner og større familier, er løsesumsedlen og den påståede motivation fra ransomware-operatøren. GoodWill gør sit bedste for at overbevise ofrene og verden som helhed om, at gruppen bag det ikke er en flok cyberkriminelle, men velgørere og forkæmpere for ædle sager. Det er selvfølgelig svært, når du bruger cyberafpresningstaktik.
GoodWill indeholder en overraskende lang løsesumseddel, der tyder på, at offeret for malwaren skal udføre underlige velgørenhedshandlinger. Den første side opfordrer til at "skaffe nyt tøj/tæpper til trængende mennesker" og endda "lave en video af denne begivenhed". Den anden "gode gerning" er at tage fattige børn "fra dit nabolag" og tage dem ud til pizza for at "få dem til at føle sig glade". Den tredje side beder ransomware-offeret om at tage på hospitalet og hjælpe folk, der har brug for penge til behandling.
Disse ekstremt usædvanlige anmodninger er, hvad hackerne forventer for at sende en dekrypteringsnøgle.
På den tekniske side af tingene krypterer GoodWill filer ved hjælp af AES. Ransomwaren er skrevet og kompileret ved hjælp af .NET og pakkes derefter ved hjælp af UPX-pakkerværktøjer.
Når ransomwaren først er udført, sover den i over 10 minutter i et forsøg på at undvige dynamisk analyse. Undersøgelsen udført af CloudSEK viser et betydeligt overlap mellem GoodWill og HiddenTear ransomware, som fik sin proof of concept-kode uploadet offentligt online.