Если вы не видите здесь изображений, то используйте VPN.

четверг, 17 марта 2022 г.

GoodWill

GoodWill Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей, а затем требует проявить доброжелательность к чужим людям и подтвердить это сообщением в соцсетях, а также записать 
видео, чтобы получить возможность вернуть свои файлы. Более того, проявить благожелательность нужно трижды, т.е. тремя способами: раздать новую одежду/одеяла нуждающимся на обочине дороги, накормить пятерых бедных детей в кафе быстрого питания Dominos, Pizza Hut,  KFC или подобных, заплатить за лечение нуждающегося в больнице. Оригинальное название: GoodWill Ransomware. На файле написано: Goodwill Encryptor.exe. 
---
Не нужно обольщаться и соглашаться с вымогателями. Совершенно не важны их намерения и текст на экране, пусть даже призывающие к добрым делам с точки зрения самих вымогателей. Если файлы реально зашифрованы, а для того, чтобы вернуть их, нужно потратить ваши денежные средства, то это такой же Ransomware и деструктор, причиняющий вред системе и файлам пользователей, как и многие другие. 
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.31374
Avast -> Win32:MalwareX-gen [Trj]
BitDefender -> IL:Trojan.MSILZilla.8091
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AGR
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.FileCryptor.MSIL.Generic
Rising -> Trojan.Generic/MSIL@AI.100 (RDM.MSIL:yc6*
Tencent -> Msil.Trojan.Agent.Tclt
TrendMicro -> Ransom_Agent.R002C0PCH22
---

© Генеалогия: HiddenTear >> GoodWill


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине марта 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .gdwill

Записка с требованием выкупа называется: index.html 
Она находится в архиве вместе с другими файлами. 


Требования и задания написаны на нескольких страницах. Мы получили скриншоты в разрозненном виде, но постарались расположить их в правильном порядке. После получения образца порядок подтвердился. 

GoodWill Ransomware

GoodWill Ransomware note

GoodWill Ransomware








Содержание этих требований:
Hey! Don't Worry
Your Files are safe
[What happened to My Computer?]
---
Your important files are encrypted by Virus Name Goodwill!
What is Goodwill Virus?
Goodwill is a different kind of ransomware worm by which many of your documents, photos, videos, database
and other important files are no longer accessible because they have been encrypted and it becomes impossible for
users to access their files without decryption tool and valid key.
[know more]
---
Our Aim
The word "Goodwill" means to show kindness
Story: 
Team GoodWill is not hungry of Money and Wealth but kindness. We want to make every person on the planet to be kind and wants to give them a hard lesson to always help poor and needy people.
So, all our victims need to be gentle and kind to get their files back. We know that you are very excited for the play.
Take Deep breath and look all around for those who needs help?
You! No way, the only way to help yourself is to help others
hope you understand
[Can I Recover my files?]
---
Hmm, that's a good question !
As we said earlier, we are not hungry of money so you do not need to pay any bitcoin or
whatever in the form of ransom to download the Decryption Kit.
But Wait...
It becomes more difficult now.
You Need to Preform Some Beautiful activities given by us.
[Activity 1]
---
Activity 1 = "Goodwill 1"
What to do?
That we all know Thousands of people die due to sleeping on the roadside in the cold because they do not have clothes to cover their body
So, your 1st task is to provide new clothes/blankets to needy people of road side and make a video of this event.
Later post this video/photo to your Facebook, Instagram and WhatsApp stories by using photo frame provided by us and encourage other people to help needy people in winters.
Take a screen shot of your post and send email to us with valid post link, later our team will verify the whole case and promotes you for the next activity.
It's Does not costs you high but matters for humanity.
[Activity 2]
---
Activity 2 = "Goodwill 2"
After completing the 1st activity you will be promoted for the Activity 2
Thousands of poor children have to sleep hungry in the long cold nights, because those ill-fated people have no luxury to have dinner every
night in this cruel world.
You cannot feed them food for life, but you can give them 2 moments of happiness!
How!!
Hmm, Listen.
In the evening, pick any 5 poor children (under 13 years) of your neighborhood and take them to Dominos / Pizza Hut or KFC, then allow them to order the food they love to eat and try to make them feel happy. Treat those kids as your younger brothers.
Take some Selfies of them with full of smiles and happy faces,
Make a beautiful video story on this whole event and again post it on your Facebook and Instagram Stories with photo frame and caption provided by us.
Take a screen shot of your posts, snap of restaurant's bill and send email to us with valid post link, later our team will verify the whole case and promotes you for the next activity.
Help those less fortunate than you, for it is real human existence
[Activity 3]
----
Activity 3 = "The Final Goodwill"
After completing the 1st and 2nd Activity we will promotes you for the Activity 3.
There are so many people in the world who have suffered the pain of losing their loved ones due to lack of money. Lack of money is the biggest misfortune to get medical treatment at the right time.
Hmm, what's your duty now!
Hmm, Listen again!
Visit the nearest hospital in your area and observe the crowd around you inside the hospital premises.
You will see that there will be some people who need certain amount of money urgently for their medical treatment, but they are unable to arrange due to any reason.
You have to go near them and talk to them that they have been supported by you and they do not need to worry now,
Finally Provide them maximum part of required amount.
Again, Take some Selfies of them with full of smiles and happy faces,
Record Audio while whole conversation between you and them and send it to us.
Write a beautiful article in your Facebook and Instagram by sharing your wonderful experience to other peoples that how you transform yourself into a kind human being by becoming Victim of a Ransomware called Goodwill.
Send us post link and later our team will verify the whole case and finally you will able to download the Complete Decryption Kit which includes The Main decryption tool, password file and the video tutorial to recover all your important files
[Download Section]
---
Our Email Address : k.nishant@itorizin.in
Email Format
***
Download Photo Frames and Post Captions
[Download!]
Now Wait for our reply on your email inbox
Note We Only Reply Those People who successfully completed all three activities
Happy Kindness !! God Bless You
[Go to Top?]
---
I HELP NEEDY PEOPLES
GOODWILL GOODWILL GOODWILL
I AM KIND, SO SO MUCH KIND


Перевод требований на русский язык:

Привет! Не волнуйся
Ваши файлы в безопасности
[Что случилось с моим компьютером?]
---
Ваши важные файлы зашифрованы Virus Name Goodwill!
Что такое вирус доброй воли?
Goodwill — это другой вид червя-вымогателя, с помощью которого многие из ваших документов, фотографий, видео, базы данных и других важных файлов больше не доступны, потому что они были зашифрованы, и пользователи не могут получить доступ к своим файлам без инструмента дешифрования и действительного ключа.
[узнать больше]
---
Наша цель
Слово "Goodwill" означает проявлять доброту
История:
Команда GoodWill жаждет не денег и богатства, а доброты. Мы хотим сделать каждого человека на планете добрым и хотим дать им строгий урок всегда помогать бедным и нуждающимся людям.
Итак, все наши жертвы должны быть нежными и добрыми, чтобы вернуть свои файлы. Мы знаем, что вы очень взволнованы игрой.
Сделать глубокий вдох и оглядеться в поисках тех, кто нуждается в помощи?
Ты! Ни в коем случае, единственный способ помочь себе — это помочь другим, надеясь, что вы понимаете.
[Могу ли я восстановить свои файлы?]
---
Хм, это хороший вопрос!
Как мы уже говорили ранее, мы не нуждаемся в деньгах, поэтому вам не нужно платить биткойны или что-то еще в виде выкупа, чтобы загрузить Decryption Kit.
Но ждать...
Сейчас становится сложнее.
Вам нужно выполнить некоторые красивые действия, предоставленные нами.
[Действие 1]
---
Действие 1 = "Доброжелательность 1"
Что делать?
Все мы знаем, что тысячи людей умирают из-за того, что спят на обочине дороги на морозе, потому что у них нет одежды, чтобы прикрыть тело.
Итак, ваша 1-я задача - раздать новую одежду/одеяла нуждающимся на обочине дороги и снять видео об этом событии.
Позже разместите это видео / фото в своих историях на Facebook, Instagram и WhatsApp, используя предоставленную нами фоторамку, и побудите других людей помогать нуждающимся людям зимой.
Сделайте снимок экрана вашего сообщения и отправьте нам EMAIL с действующей ссылкой на сообщение, позже наша команда проверит все дело и предложит вам следующее действие.
Это недорого вам обходится, но важно для человечества.
[Действие 2]
---
Действие 2 = "Доброжелательность 2"
После выполнения 1-го задания вы будете повышены до 2-го уровня.
Тысячи бедных детей вынуждены спать голодными долгими холодными ночами, потому что эти злополучные люди не могут позволить себе роскошь обедать каждый день, ночь в этом жестоком мире.
Их нельзя накормить едой на всю жизнь, но можно подарить 2 минуты счастья!
Как!!
Хм, слушай.
Вечером выберите пятерых бедных детей (младше 13 лет) из вашего района и отведите их в Dominos / Pizza Hut или KFC, затем позвольте им заказать еду, которую они любят есть, и постарайтесь сделать их счастливыми. Относитесь к этим детям как к своим младшим братьям.
Сделайте несколько селфи с их улыбками и счастливыми лицами,
Сделайте красивую видео-историю обо всем этом событии и снова разместите ее в своих историях на Facebook и в Instagram с фоторамкой и подписью, предоставленными нами.
Сделайте снимок экрана с вашими публикациями, снимайте счет из ресторана и отправьте нам email с действующей ссылкой на публикацию, позже наша команда проверит все дело и порекомендует вас для следующего действия.
Помогайте тем, кому повезло меньше, чем вам, ибо это настоящее человеческое существование.
[Занятие 3]
---
Действие 3 = "Последняя доброжелательность"
После завершения 1-го и 2-го Задания мы повысим вас до 3-го уровня.
В мире так много людей, которые страдают от потери своих близких из-за отсутствия денег. Нехватка денег – самая большая беда, чтобы вовремя обратиться за медицинской помощью.
Хмм, какая у тебя теперь обязанность!
Хмм, слушай еще раз!
Посетите ближайшую больницу в вашем районе и понаблюдайте за толпой вокруг вас в помещении больницы.
Вы увидите, что будут люди, которым срочно нужна определенная сумма денег для лечения, но они не могут по каким-то причинам это устроить.
Вы должны подойти к ним и поговорить с ними, чтобы они были поддержаны вами и теперь им не нужно беспокоиться,
Наконец, предоставьте им максимальную часть необходимой суммы.
Снова сделайте несколько селфи с их улыбками и счастливыми лицами,
Запишите аудио во время всего разговора между вами и ними и отправьте его нам.
Напишите красивую статью в Facebook и Instagram, поделившись своим замечательным опытом с другими людьми о том, как вы превращаетесь в доброго человека, став жертвой Goodwill Ransomware.
Отправьте нам ссылку, и позже наша команда проверит все дело, и, наконец, вы сможете загрузить полный комплект дешифрования, который включает основной инструмент дешифрования, файл пароля и видеоурок для восстановления всех ваших важных файлов.
[Раздел загрузки]
---
Наш email-адрес: k.nishant@itorizin.in
Формат email
***
Скачать фоторамки и подписи к публикациям
[Скачать!]
Теперь дождитесь нашего ответа на ваш почтовый ящик
Примечание. Мы отвечаем только тем людям, которые успешно выполнили все три действия.
С Днем Доброты!! Будьте здоровы
[Перейти к началу?]


Не всё так гладко с их сайтом. Он замечен Google в попытках фишинга и опасных установках. 


После перехода на сайт, вопреки предостережению, потребуется авторизация. 





Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Проверяет IP компьютера при запуске, используя сайт ipinfo.io:443/city

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
index.html - название файла с требованием выкупа; 
unlock your files.lnk - ссылка на командный файл; 
launch.bat - командный файл, открывающий записку index.html; 


zip-архив с файлами captions.txt и photoframe.png; 
photoframe.png - файл изображения, т.н. фоторамка. 
Goodwill Encryptor.exe -  название вредоносного файла;
Goodwill Encryptor.pdb - файл проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Public\Windows\Ui\unlock your files.lnk
C:\Users\Public\Windows\Ui\index.html
C:\Project\ransomware\Goodwill Encrypter\obj\Release\Goodwill Encryptor.pdb
unlock your files.lnk > launch.bat > index.html - открывается в полноэкранном окне браузера Google Chrome. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
hxxx://9855-13-235-50-147.ngrok.io/
hxxx://9855-13-235-50-147.ngrok.io/alertmsg.zip
hxxx://9855-13-235-50-147.ngrok.io/handshake.php
hxxxs://84a2-3-109-48-136.ngrok.io/kit.zip
Email: k.nishant@itorizin.in
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: cea1cb418a313bdc8e67dbd6b9ea05ad
SHA-1: 8d1af5b53c6100ffc5ebbfbe96e4822dc583dca0
SHA-256: 0facf95522637feaa6ea6f7c6a59ea4e6b7380957a236ca33a6a0dc82b70323c
Vhash: 27503675151120c514b10412
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *