GoodWill 랜섬웨어, 감염된 피해자에게 기부 및 좋은 행동을 강요

 (cloudsek.com)
3P by xguru 2022-05-28 | favorite | 댓글 2개
  • 감염된 PC의 파일을 암호화 한 뒤 해독키를 요구하면서 3가지 사회 활동을 시킴
    • 노숙자에게 새 옷을 기부하고, 영상으로 기록한 뒤 소셜미디어에 게시
    • 5명의 불우한 아이들을 도미노/피자헛/KFC에 데려가 음식을 사주고, 사진/비디오로 기록해서 소셜미디어에 게시
    • 긴급한 치료가 필요하지만 비용을 감당못하는 환자에게 재정 지원을 해주고, 그 과정을 오디오로 녹음한 걸 자신들에게 보낼 것
  • GoodWill 랜섬웨어 분석
    • .NET으로 작성되고 UPX로 압축되어 있음
    • 동적 분석을 방해하기 위해 722.45초간 슬립
    • AES_Encrypt 로 암호화
    • "GetCurrentCityAsync" 함수를 이용해서 현재 도시를 알아내려고 함
    • 감염되면 문서, 사진, 비디오, DB등을 암호화하고 해독 키 없이 접근 불가능하게 만듦
    • 암호해독 키를 얻기 위해서는 위의 3가지 행위를 순서대로 하는 걸 요구
    • 아마도 인도의 누군가가 오픈소스 랜섬웨어인 HiddenTear를 수정한 것으로 보임