GoodWill Ransomware probeert te spelen bij Robin Hood

GoodWill is een relatief nieuwe ransomware-soort die is geanalyseerd door beveiligingsonderzoekers met CloudSEK.

Wat GoodWill vooral onderscheidt van de meeste andere ransomware-klonen en grotere families, is het losgeldbriefje en de vermeende motivatie van de exploitant van de ransomware. GoodWill doet zijn best om slachtoffers en de wereld in het algemeen ervan te overtuigen dat de groep erachter niet een stelletje cybercriminelen is, maar weldoeners en voorvechters van nobele doelen. Dat is natuurlijk lastig als je gebruikmaakt van cyberafpersingstactieken.

De GoodWill bevat een verrassend lange losgeldbrief, waarin wordt gesuggereerd dat het slachtoffer van de malware vreemde liefdadigheidsacties moet verrichten. De eerste pagina roept op om "nieuwe kleren/dekens te geven aan behoeftige mensen" en zelfs "een video van dit evenement te maken". De tweede "goede daad" is om arme kinderen "uit je buurt" te halen en mee uit eten te gaan voor een pizza, om "ze gelukkig te maken". Op de derde pagina wordt het slachtoffer van ransomware gevraagd om naar een ziekenhuis te gaan en mensen te helpen die geld nodig hebben voor behandeling.

Die uiterst ongebruikelijke verzoeken zijn wat de hackers verwachten om een decoderingssleutel te verzenden.

Aan de technische kant versleutelt GoodWill bestanden met AES. De ransomware is geschreven en gecompileerd met .NET en wordt vervolgens verpakt met behulp van UPX-packertools.

De ransomware, eenmaal uitgevoerd, slaapt meer dan 10 minuten, in een poging om dynamische analyse te ontwijken. Het onderzoek uitgevoerd door CloudSEK toont een significante overlap tussen GoodWill en de HiddenTear ransomware, waarvan de proof-of-concept code publiekelijk online werd geüpload.