Buena voluntad ransomware

A primera vista, la amenaza GoodWill Ransomware parece ser otro malware dañino diseñado para bloquear los datos de sus víctimas. Y, de hecho, la amenaza es perfectamente capaz de hacerlo. Escrito en .NET, GoodWill Ransomware utiliza el algoritmo criptográfico AES para cifrar numerosos tipos de archivos importantes en dispositivos violados. Los archivos afectados incluyen bases de datos, imágenes, documentos, archivos, etc. La amenaza también entra en modo de suspensión durante 722,45 segundos, como una forma de obstaculizar cualquier intento de análisis dinámico.

Sin embargo, cuando los investigadores de la firma de análisis de amenazas CloudSEK examinaron la nota de rescate de GoodWill Ransomware, descubrieron algo inusual. En lugar de las típicas instrucciones sobre cómo realizar un pago de rescate a los ciberdelincuentes, la nota de varias páginas de GoodWill solicita a los usuarios que realicen 3 acciones benéficas. Después de completar cada paso, se les pide a las víctimas que publiquen selfies y compartan la experiencia en sus cuentas de redes sociales. Los operadores de GoodWill Ransomware verificarán que cada tarea se haya realizado y prometerán enviar un kit de descifrado completo que consiste en una herramienta de software, un archivo de contraseña y un video tutorial a sus víctimas. En cuanto a los tres actos generosos descritos en la nota, son:

• Actividad 1 - Donar ropa a personas sin hogar
• Actividad 2: pague para que cinco niños menos afortunados vayan a Dominos, KFC o Pizza Hut.
• Actividad 3: pagar la factura médica de una persona desafortunada que necesita tratamiento urgente pero no tiene los fondos para ello.

Cabe señalar que durante su análisis de la amenaza, CloudSEK descubrió múltiples conexiones que apuntan a que los operadores de GoodWill Ransomware son de India. La evidencia consiste en una dirección de correo electrónico rastreada hasta la India, la existencia de cadenas que contienen palabras en hindi y dos direcciones IP ubicadas en Mumbai, India.