GoodWillランサムウェア

一見すると、GoodWill Ransomwareの脅威は、被害者のデータをロックするように設計されたさらに別の有害なマルウェアのように見えます。そして、確かに、脅威はそれを完全に行うことができます。 .NETで記述されたGoodWillRansomwareは、AES暗号化アルゴリズムを利用して、侵害されたデバイス上の多数の重要なファイルタイプを暗号化します。影響を受けるファイルには、データベース、写真、ドキュメント、アーカイブなどが含まれます。動的分析の試行を妨げる方法として、脅威は722.45秒間スリープモードにもなります。

しかし、脅威分析会社CloudSEKの研究者が、GoodWill Ransomwareの身代金メモを調べたところ、異常なことが発見されました。サイバー犯罪者に身代金を支払う方法に関する一般的な指示の代わりに、GoodWillの複数ページのメモは、ユーザーに3つの慈善行為を行うように要求します。各ステップを完了した後、被害者は自分撮りを投稿し、ソーシャルメディアアカウントで経験を共有するように求められます。 GoodWill Ransomwareのオペレーターは、各タスクが実行されたことを確認し、ソフトウェアツール、パスワードファイル、およびビデオチュートリアルで構成される完全な復号化キットを被害者に送信することを約束します。ノートに記載されている3つの寛大な行為については、次のとおりです。

• アクティビティ1-ホームレスに服を寄付する
• アクティビティ2-ドミノ、KFC、またはピザハットに行くために5人の恵まれない子供たちにお金を払ってください。
• アクティビティ3-緊急に治療を必要としているが、そのための資金がない不幸な人の医療費を支払います。

CloudSEKは、脅威の分析中に、インドからのGoodWillランサムウェアのオペレーターを指す複数の接続を発見したことに注意してください。証拠は、インドにさかのぼる電子メールアドレス、ヒンディー語の単語を含む文字列の存在、およびインドのムンバイにある2つのIPアドレスで構成されています。