# GoodWill 랜섬웨어, 감염된 피해자에게 기부 및 좋은 행동을 강요

> Clean Markdown view of GeekNews topic #6632. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=6632](https://news.hada.io/topic?id=6632)
- GeekNews Markdown: [https://news.hada.io/topic/6632.md](https://news.hada.io/topic/6632.md)
- Type: news
- Author: [xguru](https://news.hada.io/@xguru)
- Published: 2022-05-28T09:23:27+09:00
- Updated: 2022-05-28T09:23:27+09:00
- Original source: [cloudsek.com](https://cloudsek.com/threatintelligence/goodwill-ransomware-forces-victims-to-donate-to-the-poor-and-provides-financial-assistance-to-patients-in-need/)
- Points: 3
- Comments: 2

## Topic Body

- 감염된 PC의 파일을 암호화 한 뒤 해독키를 요구하면서 3가지 사회 활동을 시킴  
  - 노숙자에게 새 옷을 기부하고, 영상으로 기록한 뒤 소셜미디어에 게시   
  - 5명의 불우한 아이들을 도미노/피자헛/KFC에 데려가 음식을 사주고, 사진/비디오로 기록해서 소셜미디어에 게시   
  - 긴급한 치료가 필요하지만 비용을 감당못하는 환자에게 재정 지원을 해주고, 그 과정을 오디오로 녹음한 걸 자신들에게 보낼 것  
- GoodWill 랜섬웨어 분석  
  - .NET으로 작성되고 UPX로 압축되어 있음  
  - 동적 분석을 방해하기 위해 722.45초간 슬립  
  - AES_Encrypt 로 암호화   
  - "GetCurrentCityAsync" 함수를 이용해서 현재 도시를 알아내려고 함   
  - 감염되면 문서, 사진, 비디오, DB등을 암호화하고 해독 키 없이 접근 불가능하게 만듦  
  - 암호해독 키를 얻기 위해서는 위의 3가지 행위를 순서대로 하는 걸 요구  
  - 아마도 인도의 누군가가 오픈소스 랜섬웨어인 HiddenTear를 수정한 것으로 보임

## Comments



### Comment 10173

- Author: bohblue23
- Created: 2022-05-28T20:23:20+09:00
- Points: 1

대단하내

### Comment 10172

- Author: hacker1415
- Created: 2022-05-28T18:32:33+09:00
- Points: 1

굉장허네