Ransomware criptografa arquivos e em troca exige ação social para descriptografia

Uma gangue de ransomware está criptografando dados e, em seguida, forçando cada vítima a realizar três ações sociais antes que eles possam baixar uma ferramenta de descriptografia.

O chamado grupo de ransomware GoodWill, identificado pela primeira vez pela equipe de inteligência de ameaças da CloudSEK, em 2022, conforme relatório, não parece ser motivado por dinheiro. Em vez disso, afirma-se, eles exigem que as vítimas façam coisas como doar cobertores para pessoas sem-teto, ou levar crianças carentes para a Pizza Hut, e depois documentar essas atividades nas mídias sociais em fotos ou vídeos.

Infecção e Resgate

Uma vez infectado, o worm do ransomware GoodWill criptografa documentos, fotos, vídeos, bancos de dados e outros arquivos importantes e os torna inacessíveis sem a chave de descriptografia. Os atores sugerem que as vítimas realizem três atividades socialmente orientadas em troca da chave de descriptografia.

Tarefas

As vítimas devem usar uma moldura, decorada com corações floridos, diz “Eu ajudo pessoas carentes” por cima, com um espaço no meio para a imagem da vítima, e “Eu sou gentil, tão gentil” na parte inferior para completar a tarefa.

Confira abaixo a tradução das tarefas.

Atividade 1 = “Boa Vontade 1″‘
O que fazer?

Que todos nós sabemos Milhares de pessoas morrem por dormir na beira da estrada no frio porque não têm roupas para cobrir o corpo. Então, sua 1ª tarefa é fornecer roupas/cobertores novos para pessoas carentes de beira de estrada e fazer um vídeo deste evento.

Mais tarde, publique este vídeo/foto em suas histórias do Facebook, Instagram e WhatsApp usando o porta-retratos fornecido por nós e incentive outros pessoas para ajudar as pessoas necessitadas no inverno.

Faça uma captura de tela do seu post e envie um email para nós com um link de postagem válido, depois nossa equipe verificará todo o caso e o promoverá para o próxima atividade.

Não custa caro, mas é importante para a humanidade.

Atividade 2 = “Boa Vontade 2”
Após completar a 1ª atividade você será promovido para a Atividade 2.

Milhares de crianças pobres têm que dormir com fome nas longas noites frias, porque essas pessoas malfadadas não têm o luxo de jantar todos os dias noite neste mundo cruel. Você não pode alimentá-los com comida por toda a vida, mas pode dar-lhes 2 momentos de felicidade!

Quão!! Hum, ouça.

À noite, escolha 5 crianças pobres (menores de 13 anos) do seu bairro e leve-as ao Dominos / Pizza Hut ou KFC, depois permita-as pedir a comida que eles gostam de comer e tentar fazê-los se sentirem felizes. Trate essas crianças como seus irmãos mais novos.

Atividade 3 = “A Boa Vontade Final”
Após completar a 1ª e 2ª Atividade, iremos promover você para a Atividade 3.

Há tantas pessoas no mundo que sofreram a dor de perder seus entes queridos por falta de dinheiro. A falta de dinheiro é o maior infortúnio para obter tratamento médico na hora certa.

Hmm, qual é o seu dever agora! Hum, ouça de novo!

Visite o hospital mais próximo da sua área e observe a multidão ao seu redor dentro das instalações do hospital. Você verá que haverá algumas pessoas que precisam de certa quantia de dinheiro com urgência para seu tratamento médico, mas não conseguem
arranjar por qualquer motivo.

Você tem que chegar perto deles e falar com eles que eles foram apoiados por você e eles não precisam se preocupar agora. Finalmente, forneça-lhes a parte máxima da quantidade necessária. Mais uma vez, tire algumas selfies deles com sorrisos e rostos felizes, grave áudio durante toda a conversa entre você e eles e envie para nós.

Escreva um belo artigo em seu Facebook e Instagram compartilhando sua maravilhosa experiência com outras pessoas que como você transforma e tornar-se um ser humano gentil, tornando-se Vítima de um Ransomware chamado GoodWill.

Envie-nos o link do post e depois nossa equipe verificará todo o caso e, finalmente, você poderá baixar o Kit de descriptografia completo que inclui a ferramenta de descriptografia principal, arquivo de senha e o tutorial em vídeo para recuperar todos os seus arquivos importantes

O que se sabe sobre o Ransomware

Ao analisar o ransomware, os pesquisadores de inteligência de ameaças da CloudSEK extrairam as strings do GoodWill e concluíram que existem cerca de 1246 strings deste ransomware, das quais 91 strings se sobrepõem ao ransomware HiddenTear.

HiddenTear é um ransomware de código aberto desenvolvido por um programador turco e seu PoC foi então lançado no GitHub. Os operadores goodwill podem ter tido acesso a isso permitindo que eles criem um novo ransomware com as modificações necessárias.

Os pesquisadores de segurança acreditam que os operadores do malware são da Índia ou estão lá. Eles disseram que rastrearam um endereço de e-mail fornecido pelo grupo de ransomware para um provedor de serviços de segurança gerenciados com sede na Índia. Além disso, dois endereços IP, 3.109.48.136 e 13.235.50.147, ao que o malware se conecta estão localizados em Mumbai.

Além disso, a equipe observou uma sequência no código escrito em Hinglish, que os analistas disseram que indicaram que os operadores são da Índia e falam hindi. A string, “error hai bhaiya”, de acordo com a CloudSek, significa “há um erro, irmão”.

O ransomware, que os pesquisadores disseram ser escrito em .NET e embalado com UPX, usa AES para criptografar arquivos em máquinas Windows infectadas. Há evidências de que ele tenta detectar a geolocalização do dispositivo comprometido, também, se isso é tudo para ser acreditado.

Texto criado com o auxilio de cloudsek / metro.co.uk