GoodWill Ransomware
À première vue, la menace GoodWill Ransomware semble être un autre malware nuisible conçu pour verrouiller les données de ses victimes. Et, en effet, la menace est parfaitement capable de le faire. Écrit en .NET, le GoodWill Ransomware utilise l'algorithme cryptographique AES pour chiffrer de nombreux types de fichiers importants sur les appareils piratés. Les fichiers concernés comprennent des bases de données, des images, des documents, des archives, etc. La menace entre également en mode veille pendant 722,45 secondes, afin d'entraver toute tentative d'analyse dynamique.
Cependant, lorsque les chercheurs de la société d'analyse des menaces CloudSEK ont examiné la note de rançon de GoodWill Ransomware, ils ont découvert quelque chose d'inhabituel. Au lieu des instructions typiques sur la façon de verser une rançon aux cybercriminels, la note de plusieurs pages de GoodWill demande aux utilisateurs de faire 3 actions caritatives. Après avoir terminé chaque étape, les victimes sont invitées à publier des selfies et à partager l'expérience sur leurs comptes de médias sociaux. Les opérateurs du GoodWill Ransomware vérifieront que chaque tâche a été effectuée et promettent d'envoyer un kit de décryptage complet composé d'un outil logiciel, d'un fichier de mot de passe et d'un didacticiel vidéo à leurs victimes. Quant aux trois actes généreux décrits dans la note, ils sont :
- Activité 1 - Donner des vêtements aux sans-abri
- Activité 2 - Payez pour que cinq enfants moins fortunés aillent chez Dominos, KFC ou Pizza Hut.
- Activité 3 - Payer la facture médicale d'une personne malheureuse qui a un besoin urgent de soins mais qui n'en a pas les moyens.
Il convient de noter qu'au cours de leur analyse de la menace, CloudSEK a découvert plusieurs connexions indiquant que les opérateurs du GoodWill Ransomware étaient originaires d'Inde. Les éléments de preuve consistent en une adresse e-mail remontant à l'Inde, l'existence de chaînes contenant des mots en hindi et deux adresses IP situées à Mumbai, en Inde.
