- Depois de criptografar os arquivos do PC infectado, exige a chave de descriptografia e impõe 3 atividades sociais
- Doar roupas novas para uma pessoa em situação de rua, registrar em vídeo e publicar nas redes sociais
- Levar 5 crianças carentes ao Domino's/Pizza Hut/KFC para comprar comida, registrar com fotos/vídeo e publicar nas redes sociais
- Fornecer apoio financeiro a um paciente que precisa de tratamento urgente, mas não consegue arcar com os custos, gravar o processo em áudio e enviá-lo a eles
- Análise do ransomware GoodWill
- Escrito em .NET e compactado com UPX
- Entra em sleep por 722.45 segundos para dificultar a análise dinâmica
- Criptografa com
AES_Encrypt
- Tenta descobrir a cidade atual usando a função
GetCurrentCityAsync
- Quando infecta, criptografa documentos, fotos, vídeos, bancos de dados etc. e os torna inacessíveis sem a chave de descriptografia
- Para obter a chave de descriptografia, exige que as 3 ações acima sejam realizadas em sequência
- Ao que tudo indica, parece ser uma modificação do ransomware open source HiddenTear feita por alguém da Índia
2 comentários
Impressionante
É impressionante