Goodwill-Ransomware

Auf den ersten Blick scheint die Bedrohung durch GoodWill Ransomware eine weitere schädliche Malware zu sein, die entwickelt wurde, um die Daten ihrer Opfer zu sperren. Und tatsächlich ist die Bedrohung dazu durchaus in der Lage. Die in .NET geschriebene GoodWill Ransomware verwendet den AES-Verschlüsselungsalgorithmus, um zahlreiche wichtige Dateitypen auf angegriffenen Geräten zu verschlüsseln. Zu den betroffenen Dateien gehören Datenbanken, Bilder, Dokumente, Archive usw. Die Bedrohung wechselt außerdem für 722,45 Sekunden in den Ruhemodus, um dynamische Analyseversuche zu verhindern.

Als Forscher des Bedrohungsanalyseunternehmens CloudSEK jedoch die Lösegeldforderung von GoodWill Ransomware untersuchten, entdeckten sie etwas Ungewöhnliches. Anstelle der typischen Anweisungen, wie man eine Lösegeldzahlung an die Cyberkriminellen leistet, fordert die mehrseitige Notiz von GoodWill die Benutzer auf, 3 wohltätige Aktionen durchzuführen. Nach Abschluss jedes Schritts werden die Opfer gebeten, Selfies zu posten und die Erfahrung auf ihren Social-Media-Konten zu teilen. Die Betreiber der GoodWill Ransomware überprüfen, ob jede Aufgabe ausgeführt wurde, und versprechen, ihren Opfern ein vollständiges Entschlüsselungskit zu senden, das aus einem Softwaretool, einer Passwortdatei und einem Video-Tutorial besteht. Die drei in der Notiz beschriebenen großzügigen Handlungen sind:

• Aktivität 1 – Kleidung an Obdachlose spenden
• Aktivität 2 – Zahlen Sie für fünf weniger glückliche Kinder, damit sie zu Dominos, KFC oder Pizza Hut gehen.
• Aktivität 3 - Zahlen Sie die Arztrechnung einer unglücklichen Person, die dringend eine Behandlung benötigt, aber nicht über die Mittel dafür verfügt.

Es sei darauf hingewiesen, dass CloudSEK bei der Analyse der Bedrohung mehrere Verbindungen entdeckt hat, die darauf hindeuten, dass die Betreiber der GoodWill Ransomware aus Indien stammen. Die Beweise bestehen aus einer nach Indien zurückverfolgten E-Mail-Adresse, der Existenz von Zeichenfolgen, die Wörter in Hindi enthalten, und zwei IP-Adressen, die sich in Mumbai, Indien, befanden.