GoodWill Ransomware tenta jogar em Robin Hood
GoodWill é uma cepa de ransomware relativamente nova analisada por pesquisadores de segurança com CloudSEK.
O que particularmente diferencia o GoodWill da maioria dos outros clones de ransomware e famílias maiores é a nota de resgate e a suposta motivação do operador do ransomware. A GoodWill faz o possível para persuadir as vítimas e o mundo em geral de que o grupo por trás dela não é um bando de cibercriminosos, mas benfeitores e defensores de causas nobres. Claro, isso é difícil quando você está usando táticas de extorsão cibernética.
O GoodWill contém uma nota de resgate surpreendentemente longa, sugerindo que a vítima do malware deve realizar estranhos atos de caridade. A primeira página chama para "fornecer roupas/cobertores novos para pessoas carentes" e até "fazer um vídeo deste evento". A segunda "boa ação" é pegar crianças pobres "do seu bairro" e levá-las para comer pizza, para "fazer com que se sintam felizes". A terceira página pede que a vítima do ransomware vá a um hospital e ajude as pessoas que precisam de dinheiro para tratamento.
Essas solicitações extremamente incomuns são o que os hackers esperam para enviar uma chave de descriptografia.
No lado técnico das coisas, GoodWill criptografa arquivos usando AES. O ransomware é escrito e compilado usando .NET e então empacotado usando ferramentas de empacotador UPX.
O ransomware, uma vez executado, dorme por mais de 10 minutos, na tentativa de evitar a análise dinâmica. O exame realizado pelo CloudSEK mostra uma sobreposição significativa entre GoodWill e o ransomware HiddenTear, que teve seu código de prova de conceito carregado publicamente online.