Το GoodWill Ransomware προσπαθεί να παίξει στο Robin Hood
Το GoodWill είναι ένα σχετικά νέο στέλεχος ransomware που αναλύθηκε από ερευνητές ασφαλείας με το CloudSEK.
Αυτό που ξεχωρίζει ιδιαίτερα το GoodWill από την πλειονότητα των άλλων κλώνων ransomware και των μεγαλύτερων οικογενειών είναι η σημείωση λύτρων και το υποτιθέμενο κίνητρο του χειριστή του ransomware. Η GoodWill κάνει ό,τι μπορεί για να πείσει τα θύματα και τον κόσμο γενικότερα ότι η ομάδα πίσω από αυτήν δεν είναι μια δέσμη κυβερνοεγκληματιών αλλά ευεργέτες και υπέρμαχοι ευγενών σκοπών. Φυσικά, αυτό είναι δύσκολο όταν χρησιμοποιείτε τακτικές εκβιασμού στον κυβερνοχώρο.
Το Good Will περιέχει ένα εκπληκτικά μεγάλο σημείωμα λύτρων, το οποίο υποδηλώνει ότι το θύμα του κακόβουλου λογισμικού θα πρέπει να κάνει περίεργες πράξεις φιλανθρωπίας. Η πρώτη σελίδα καλεί να «παρέχουμε νέα ρούχα/κουβέρτες σε άπορους» και ακόμη «να κάνουμε βίντεο από αυτή την εκδήλωση». Η δεύτερη «καλή πράξη» είναι να παίρνεις φτωχά παιδιά «από τη γειτονιά σου» και να τα βγάζεις έξω για πίτσα, για να «να νιώσουν χαρούμενα». Η τρίτη σελίδα ζητά από το θύμα ransomware να πάει σε ένα νοσοκομείο και να βοηθήσει άτομα που χρειάζονται χρήματα για θεραπεία.
Αυτά τα εξαιρετικά ασυνήθιστα αιτήματα είναι αυτά που περιμένουν οι χάκερ για να στείλουν ένα κλειδί αποκρυπτογράφησης.
Από την τεχνική πλευρά των πραγμάτων, η GoodWill κρυπτογραφεί αρχεία χρησιμοποιώντας AES. Το ransomware γράφεται και μεταγλωττίζεται χρησιμοποιώντας .NET και στη συνέχεια συσκευάζεται χρησιμοποιώντας εργαλεία συσκευασίας UPX.
Το ransomware, μόλις εκτελεστεί, κοιμάται για πάνω από 10 λεπτά, σε μια προσπάθεια να αποφύγει τη δυναμική ανάλυση. Η εξέταση που διεξήχθη από το CloudSEK δείχνει μια σημαντική επικάλυψη μεταξύ της GoodWill και του ransomware HiddenTear, το οποίο ανέβασε δημόσια στο διαδίκτυο την απόδειξη του εννοιολογικού κώδικα.