GoodWill Ransomware intenta jugar con Robin Hood
GoodWill es una cepa de ransomware relativamente nueva analizada por investigadores de seguridad con CloudSEK.
Lo que diferencia a GoodWill de la mayoría de los otros clones de ransomware y familias más grandes es la nota de rescate y la supuesta motivación del operador del ransomware. GoodWill hace todo lo posible para persuadir a las víctimas y al mundo en general de que el grupo que está detrás no es un grupo de ciberdelincuentes, sino benefactores y campeones de causas nobles. Por supuesto, eso es difícil cuando se utilizan tácticas de extorsión cibernética.
GoodWill contiene una nota de rescate sorprendentemente larga, lo que sugiere que la víctima del malware debe realizar extraños actos de caridad. La primera página llama a "proporcionar ropa/cobijas nuevas a las personas necesitadas" e incluso "hacer un video de este evento". La segunda "buena acción" es llevar niños pobres "de tu barrio" y llevarlos a comer pizza, para "hacerlos felices". La tercera página le pide a la víctima del ransomware que vaya a un hospital y ayude a las personas que necesitan dinero para el tratamiento.
Esas solicitudes extremadamente inusuales son lo que los piratas informáticos esperan para enviar una clave de descifrado.
En el aspecto técnico de las cosas, GoodWill cifra los archivos mediante AES. El ransomware se escribe y compila usando .NET y luego se empaqueta usando las herramientas de empaquetado UPX.
El ransomware, una vez ejecutado, duerme durante más de 10 minutos, en un intento de esquivar el análisis dinámico. El examen realizado por CloudSEK muestra una superposición significativa entre GoodWill y el ransomware HiddenTear, cuyo código de prueba de concepto se cargó públicamente en línea.