Os especialistas em segurança cibernética da CloudSEK falaram sobre o grupo de hackers GoodWill, que distribui um vírus ransomware, mas para descriptografar os dados, exige que a vítima não pague um resgate, mas faça boas ações. Por exemplo, doe cobertores para os sem-teto, alimente crianças famintas com fast food ou pague tratamento para os pobres, capture tudo isso em fotos e vídeos e depois publique-os nas redes sociais.
Fonte da imagem: Pete Linforth / pixabay.com
De acordo com especialistas, os operadores de ransomware trabalham na Índia – isso é indicado por seus e-mails e endereços IP atribuídos a Mumbai, aos quais o vírus acessa. Além disso, em uma das linhas de código, foi encontrada uma entrada em hinglish, uma mistura de hindi e inglês. O malware é escrito na estrutura .NET, compactado com o empacotador de arquivos executáveis UPX, e os dados nas máquinas Windows infectadas são criptografados usando o algoritmo AES.
Depois de infectar o PC da vítima, o vírus GoodWill criptografa arquivos de vários formatos nele e se oferece para fazer três boas ações para descriptografá-los: doar roupas ou cobertores para os “necessitados na estrada”, levar cinco crianças pobres para um estabelecimento de fast food, e também visitar o hospital mais próximo e pagar o tratamento a uma pessoa que não pode fazê-lo por conta própria.
As duas primeiras ações devem ser documentadas nas redes sociais usando o porta-retratos oferecido pelos hackers, e a última deve ser tirada com o objeto de ajuda e enviada junto com a gravação de áudio da conversa com essa pessoa para os operadores do ransomware vírus. Depois de concluir essas três boas ações, você precisa escrever e postar na rede social um artigo sobre o tema “Como você se tornou uma pessoa gentil, sendo vítima do vírus ransomware GoodWill”. Depois disso, os hackers supostamente enviam uma ferramenta para descriptografar os dados.
Especialistas descobriram uma conexão entre GoodWill e uma amostra de malware experimental HiddenTear, que foi desenvolvido e colocado no GitHub por um certo programador turco por motivos de segurança. Conforme relatado pelo CloudSEK, 91 de 1.246 linhas de código GoodWill correspondem à amostra HiddenTear.