A GoodWill Ransomware megpróbál játszani Robin Hoodnál

A GoodWill egy viszonylag új zsarolóvírus-törzs, amelyet biztonsági kutatók elemeztek a CloudSEK segítségével.

Ami a GoodWill-t különösen távol tartja a többi zsarolóvírus-klóntól és nagyobb családtól, az a váltságdíj feljegyzése és a ransomware üzemeltetőjének állítólagos motivációja. A GoodWill mindent megtesz, hogy meggyőzze az áldozatokat és a világot, hogy a mögötte álló csoport nem kiberbűnözők csoportja, hanem jótevők és nemes célok bajnokai. Természetesen ez nehéz, ha számítógépes zsarolási taktikát alkalmaz.

A GoodWill meglepően hosszú váltságdíjat tartalmaz, amely arra utal, hogy a kártevő áldozatának furcsa jótékonysági cselekedeteket kell végrehajtania. Az első oldal arra szólít fel, hogy "adjunk új ruhát/takarót a rászorulóknak", sőt "készítsenek videót erről az eseményről". A második "jó cselekedet" az, hogy elviszed a szegény gyerekeket "a környékedről" és kiviszed őket pizzázni, hogy "boldogságra keltsd őket". A harmadik oldal arra kéri a zsarolóvírus áldozatát, hogy menjen kórházba, és segítsen azokon, akiknek pénzre van szükségük a kezeléshez.

Ezeket a rendkívül szokatlan kéréseket várják a hackerek, hogy visszafejtő kulcsot küldjenek.

Ami a dolgok technikai oldalát illeti, a GoodWill AES segítségével titkosítja a fájlokat. A zsarolóprogramot .NET segítségével írják és fordítják le, majd UPX csomagolóeszközökkel csomagolják.

A zsarolóprogram a végrehajtás után több mint 10 percig alszik, hogy megkísérelje kikerülni a dinamikus elemzést. A CloudSEK által végzett vizsgálat jelentős átfedést mutat a GoodWill és a HiddenTear ransomware között, amely a koncepció bizonyítási kódját nyilvánosan feltöltötte az internetre.