Nem telik el úgy hét, hogy ne jelenne meg egy ransomware hír, amiben egy újabb cég adatait ejtették foglyul és kérnek értük váltságdíjat. Időnként előfordulnak viccesebb zsarolóvírusos támadások, de ilyenről még nem hallottunk.
A GoodWill nevű zsarolóvírust a CloudSEK biztonságtechnikai cég fedezte fel, és adta ki a figyelmeztetést, mely átmeneti adatvesztést és üzemkiesést okoz a munkafolyamatokban.
Mondhatnánk, hogy semmi érdekes, csak a szokásos nóta, ám a GoodWill teljesen mást kér az encryptált adatok feloldásáért. Három feladatot kell végrehajtani, amiről bizonyítékot kell szolgáltatni a zsarolóvírust terjesztőknek:
- segíteni kell a rászorulókon: adhatunk ételt, takarót, ruhát nekik, amiről videós bizonyítékot kell készítenünk
- adj ételt a gyerekeknek: vidd el őket egy este valami gyorsétkezdébe, hogy ne éhesen feküdjenek le. Erről szintén videót kell készítened, amit megosztasz Facebook-on vagy Instagram-on
- a közeli kórháznál várakozók körében kérdezz körbe, hogy szükségük van-e gyorsan pénzre, valamilyen egészségügyi kiadásukra, és add oda nekik a pénzt. A beszélgetést rögzítsd és küldd el a zsarolóknak.
Tehát a GoodWill zsarolóvírus tulajdonosai azt várják el az áldozattól, hogy segítse a szegényeket, az elesetteket, a rászorulókat. Elvileg ha ezt a fenti három lépést megteszi az áldozat, akkor visszakapja az állományainak visszaállításához szükséges feloldó kulcsot.
Hogyan működik?
A Goodwill zsarolóvírus .NET-ben íródott és UPX csomagokkal terjed. A vírus a rendszerbe kerülve 722,45 másodpercig alszik, hogy elkerülje a vírusirtók dinamikus ellenőrzését, és felkészüljön a fájlok AES algoritmussal történő elkódolására.
Amint a GetCurrentCityAsync nevű változóba sikerül beleírni az aktuális gép geolokációját meg is kezdi a fájlok, fotók és videók teljes titkosítását, amit az áldozat csak a támadók által biztosított feloldó kulccsal tudnak megszüntetni.