- Después de cifrar los archivos de una PC infectada y exigir la clave de descifrado, impone 3 actividades sociales
- Donar ropa nueva a una persona sin hogar, registrarlo en video y publicarlo en redes sociales
- Llevar a 5 niños desfavorecidos a Domino's/Pizza Hut/KFC para comprarles comida, registrar la actividad con fotos/video y publicarlo en redes sociales
- Brindar apoyo financiero a un paciente que necesita tratamiento urgente pero no puede costearlo, grabar el proceso en audio y enviárselo a ellos
- Análisis del ransomware GoodWill
- Está escrito en .NET y empaquetado con UPX
- Duerme durante 722.45 segundos para obstaculizar el análisis dinámico
- Cifra con
AES_Encrypt
- Intenta averiguar la ciudad actual usando la función
GetCurrentCityAsync
- Una vez infecta, cifra documentos, fotos, videos y bases de datos, dejándolos inaccesibles sin la clave de descifrado
- Para obtener la clave de descifrado, exige realizar las 3 acciones anteriores en orden
- Aparentemente, parece ser una modificación del ransomware de código abierto HiddenTear hecha por alguien de India
2 comentarios
Impresionante.
Está tremendo.