GoodWill Ransomware försöker spela på Robin Hood

GoodWill är en relativt ny ransomware-stam som analyserats av säkerhetsforskare med CloudSEK.

Det som särskilt skiljer GoodWill från majoriteten av andra ransomware-kloner och större familjer är lösenbeloppet och den påstådda motivationen från ransomware-operatören. GoodWill gör sitt bästa för att övertyga offren och världen i stort om att gruppen bakom det inte är ett gäng cyberkriminella utan välgörare och förkämpar för ädla saker. Naturligtvis är det svårt när du använder cyberutpressningstaktik.

GoodWill innehåller en förvånansvärt lång lösensumma, som föreslår att offret för skadlig programvara bör utföra konstiga välgörenhetshandlingar. Den första sidan uppmanar till att "ge nya kläder/filtar till behövande människor" och till och med "göra en video av denna händelse". Den andra "goda gärningen" är att ta fattiga barn "från ditt grannskap" och ta ut dem på pizza, för att "få dem att känna sig lyckliga". Den tredje sidan ber offret för ransomware att åka till ett sjukhus och hjälpa människor som behöver pengar för behandling.

Dessa extremt ovanliga förfrågningar är vad hackarna förväntar sig för att skicka en dekrypteringsnyckel.

På den tekniska sidan krypterar GoodWill filer med AES. Ransomwaren skrivs och kompileras med .NET och packas sedan med UPX-paketeringsverktyg.

Ransomwaren, när den väl har körts, sover i över 10 minuter, i ett försök att undvika dynamisk analys. Undersökningen utförd av CloudSEK visar en betydande överlappning mellan GoodWill och HiddenTear ransomware, som fick sin proof of concept-kod uppladdad offentligt online.