GoodWillランサムウェアはロビンフッドでプレイしようとします

GoodWillは、CloudSEKのセキュリティ研究者によって分析された比較的新しいランサムウェア株です。

GoodWillを他のランサムウェアのクローンや大家族の大多数とは別に特に設定しているのは、身代金のメモと、ランサムウェアのオペレーターの動機付けです。 GoodWillは、被害者と世界全体を説得するために最善を尽くし、その背後にあるグループはサイバー犯罪者の集まりではなく、高貴な目的の恩人と擁護者であると説得します。もちろん、サイバー恐喝戦術を使用している場合、それは困難です。

GoodWillには驚くほど長い身代金メモが含まれており、マルウェアの被害者は奇妙な慈善行為を行う必要があることを示唆しています。最初のページでは、「貧しい人々に新しい服や毛布を提供する」、さらには「このイベントのビデオを作成する」と呼びかけています。 2番目の「善行」は、貧しい子供たちを「あなたの近所から」連れて行き、ピザに連れて行って「彼らを幸せに感じさせる」ことです。 3ページ目は、ランサムウェアの被害者に病院に行き、治療にお金が必要な人を助けるように求めています。

これらの非常に珍しい要求は、ハッカーが復号化キーを送信するために期待するものです。

技術的な面では、GoodWillはAESを使用してファイルを暗号化します。ランサムウェアは、.NETを使用して作成およびコンパイルされ、UPXパッカーツールを使用してパックされます。

ランサムウェアは、実行されると、動的分析を回避するために10分以上スリープします。 CloudSEKが実施した調査では、GoodWillとHiddenTearランサムウェアの間に大きな重複があることが示されています。HiddenTearランサムウェアは、概念実証コードがオンラインで公開されています。