„GoodWill Ransomware“ bando žaisti Robin Hood

„GoodWill“ yra palyginti nauja išpirkos reikalaujanti programinė įranga, kurią saugumo tyrinėtojai išanalizavo naudodami „CloudSEK“.

„GoodWill“ iš daugelio kitų išpirkos reikalaujančių klonų ir didesnių šeimų ypač išskiria išpirkos reikalaujančios programos operatoriaus pastaba dėl išpirkos ir tariama motyvacija. „GoodWill“ daro viską, kad įtikintų aukas ir visą pasaulį, kad už jos slypi ne kibernetinių nusikaltėlių būrys, o geradariai ir kilnių tikslų puoselėtojai. Žinoma, tai sunku, kai naudojate kibernetinio turto prievartavimo taktiką.

„GoodWill“ yra stebėtinai ilgas išpirkos raštas, kuriame teigiama, kad kenkėjiškos programos auka turėtų atlikti keistus labdaros veiksmus. Pirmame puslapyje raginama „padovanoti nepasiturinčius žmones naujais drabužiais/paklodėmis“ ir net „padaryti šio įvykio vaizdo įrašą“. Antras „geras poelgis“ – vargšų vaikų paėmimas „iš savo kaimynystės“ ir išvežimas picos, „kad jie jaustųsi laimingi“. Trečiame puslapyje išpirkos reikalaujančios programos auka prašoma vykti į ligoninę ir padėti žmonėms, kuriems reikia pinigų gydymui.

Šių itin neįprastų užklausų įsilaužėliai tikisi, norėdami išsiųsti iššifravimo raktą.

Kalbant apie techninę dalykų pusę, „GoodWill“ užšifruoja failus naudodama AES. Išpirkos reikalaujanti programa parašyta ir sukompiliuojama naudojant .NET, o tada supakuojama naudojant UPX pakavimo įrankius.

Išpirkos reikalaujanti programa, kai ji vykdoma, užmiega daugiau nei 10 minučių, bandydama išvengti dinaminės analizės. „CloudSEK“ atliktas tyrimas rodo, kad „GoodWill“ ir „HiddenTear“ išpirkos reikalaujančios programos, kurios koncepcijos kodas buvo įkeltas viešai internete, sutampa.