Программа-вымогатель GoodWill пытается сыграть с Робин Гудом

GoodWill — это относительно новый штамм вируса-вымогателя, проанализированный исследователями безопасности в CloudSEK.

Что особенно отличает GoodWill от большинства других клонов программ-вымогателей и более крупных семейств, так это записка о выкупе и предполагаемая мотивация оператора программы-вымогателя. GoodWill делает все возможное, чтобы убедить жертв и весь мир в том, что группа, стоящая за ней, — это не кучка киберпреступников, а благотворители и поборники благородных дел. Конечно, это сложно, когда вы используете тактику кибер-вымогательства.

В GoodWill содержится удивительно длинная записка о выкупе, предлагающая жертве вредоносного ПО совершать странные акты благотворительности. Первая страница призывает «раздать нуждающимся новую одежду/одеяла» и даже «снять это событие на видео». Второе «доброе дело» — это брать бедных детей «из вашего района» и водить их на пиццу, чтобы «сделать их счастливыми». На третьей странице жертве программы-вымогателя предлагается обратиться в больницу и помочь людям, которым нужны деньги на лечение.

Именно эти чрезвычайно необычные запросы ожидают хакеры, чтобы отправить ключ дешифрования.

С технической стороны GoodWill шифрует файлы с помощью AES. Программа-вымогатель пишется и компилируется с использованием .NET, а затем упаковывается с помощью инструментов упаковщика UPX.

Программа-вымогатель после запуска спит более 10 минут, пытаясь уклониться от динамического анализа. Исследование, проведенное CloudSEK, показывает значительное совпадение между программами-вымогателями GoodWill и HiddenTear, код подтверждения концепции которых был опубликован в Интернете.