- หลังเข้ารหัสไฟล์ในพีซีที่ติดเชื้อแล้ว มัลแวร์จะเรียกค่าแลกกุญแจถอดรหัสพร้อมบังคับให้ทำกิจกรรมทางสังคม 3 อย่าง
- บริจาคเสื้อผ้าใหม่ให้คนไร้บ้าน บันทึกเป็นวิดีโอ แล้วโพสต์ลงโซเชียลมีเดีย
- พาเด็กยากไร้ 5 คนไปที่ Domino's/Pizza Hut/KFC เพื่อซื้ออาหารให้ และบันทึกเป็นภาพถ่าย/วิดีโอแล้วโพสต์ลงโซเชียลมีเดีย
- ให้ความช่วยเหลือทางการเงินแก่ผู้ป่วยที่ต้องการการรักษาเร่งด่วนแต่ไม่สามารถจ่ายค่าใช้จ่ายได้ พร้อมอัดเสียงกระบวนการนั้นส่งให้ผู้โจมตี
- การวิเคราะห์แรนซัมแวร์ GoodWill
- เขียนด้วย .NET และแพ็กด้วย UPX
- หลับการทำงาน 722.45 วินาทีเพื่อรบกวนการวิเคราะห์แบบไดนามิก
- เข้ารหัสด้วย
AES_Encrypt
- พยายามตรวจสอบเมืองปัจจุบันโดยใช้ฟังก์ชัน
GetCurrentCityAsync
- เมื่อติดเชื้อ จะเข้ารหัสเอกสาร รูปภาพ วิดีโอ ฐานข้อมูล ฯลฯ และทำให้ไม่สามารถเข้าถึงได้หากไม่มีกุญแจถอดรหัส
- เพื่อให้ได้กุญแจถอดรหัส เหยื่อต้องทำ 3 กิจกรรมข้างต้นตามลำดับ
- คาดว่าน่าจะเป็นการดัดแปลง HiddenTear แรนซัมแวร์โอเพนซอร์สโดยใครบางคนในอินเดีย
2 ความคิดเห็น
สุดยอดเลย
น่าทึ่งมาก