Главная страница » IOC
0
3 года
IOC

GoodWill Ransomware IOCs

ransomware

Goodwill ransomware распространяет очень необычные требования в обмен на ключ дешифровки. Похожая на Робин Гуда группа заставляет своих жертв жертвовать в пользу бедных и оказывает финансовую помощь нуждающимся пациентам.

GoodWill Ransomware

GoodWill Ransomware была обнаружена исследователями CloudSEK в марте 2022 года. Операторы якобы заинтересованы в продвижении социальной справедливости, а не в обычных финансовых целях.

Исследователям CloudSEK удалось выявить следующие особенности GoodWill:

  • Программа написана на .NET и упакована с помощью упаковщиков UPX.
  • Она спит в течение 722,45 секунды, чтобы помешать динамическому анализу.
  • Она использует функцию AES_Encrypt для шифрования, используя алгоритм AES.
  • Одна из строк - "GetCurrentCityAsync", которая пытается определить геолокацию зараженного устройства.

После заражения GoodWill Ransomware шифрует документы, фотографии, видео, базы данных и другие важные файлы и делает их недоступными без ключа расшифровки. Авторы предлагают жертвам выполнить три социально значимых действия в обмен на ключ дешифровки:

  1. Пожертвовать новую одежду бездомным, записать действие и разместить его в социальных сетях.
  2. Отведите пять менее удачливых детей в Dominos, Pizza Hut или KFC, сделайте фотографии и видео и разместите их в социальных сетях.
  3. Окажите финансовую помощь любому, кто нуждается в срочной медицинской помощи, но не может себе ее позволить, в ближайшей больнице, запишите аудиозапись и поделитесь ею с операторами.

Группа GoodWill требует, чтобы жертвы записывали каждое действие и в обязательном порядке размещали изображения, видео и т.д. на своих аккаунтах в социальных сетях.
После завершения всех трех действий жертвы также должны написать в социальных сетях (Facebook или Instagram) заметку "Как вы превратились в доброго человека, став жертвой вымогательской программы под названием GoodWill".

Indicators of Compromise

MD5

  • cea1cb418a313bdc8e67dbd6b9ea05ad

SHA1

  • 8d1af5b53c6100ffc5ebbfbe96e4822dc583dca0

SHA256

  • 0facf95522637feaa6ea6f7c6a59ea4e6b7380957a236ca33a6a0dc82b70323c
Комментарии: 0
Похожие записи
0
9 дней
IOC

Группы Black Basta и Cactus Ransomware добавили в свой арсенал вредоносное ПО BackConnect

security
Команды Trend Micro Managed XDR и Incident Response (IR) провели анализ инцидентов, связанных с программами Black Basta и Cactus, где злоумышленники использовали вредоносную программу BackConnect для захвата контроля над зараженными системами.
0
20 дней
IOC

Ghost (Cring) Ransomware IOCs

ransomware
Общее совместное сообщение Федерального бюро расследований (ФБР), Агентства кибербезопасности и безопасности инфраструктуры (CISA) и Многоштатного центра обмена информацией и анализа (MS-ISAC) обнародовало
0
20 дней
IOC

Как быстрые фишинговые атаки используют слабые места

ransomware
Недавно компания ReliaQuest столкнулась с взломом в производственном секторе, связанным с фишингом и утечкой данных. Злоумышленники были очень быстры и смогли взломать систему всего за 48 минут.