Sozialistischer Kettenbrief-Trojaner

„GoodWill“: Ransomware mit Herz?

3. Juni 2022, 12:28 Uhr | Lars Bube | Kommentar(e)
Bogenschützin
© Andrey Kiselev - AdobeStock

Die Ransomware „GoodWill“ verlangt von ihren Opfern drei soziale Taten statt Bitcoins, um wieder an ihre verschlüsselten Daten zu kommen. Sie müssen etwa Kleider für Obdachlose spenden und Kranken ihre Rechnungen bezahlen. Ihr Urheber könnte ein Security-Dienstleister sein.

Die Security-Experten von CloudSEK haben eine völlig neue Art von Ransomware aufgespürt, die derzeit vor allem in Amerika ihr Unwesen treibt. Schon rein technisch gesehen ist „GoodWill“ nur auf den ersten Blick ein weiterer typischer Erpressungstrojaner, der in .NET programmiert ist und Teile der Opensource-Ransomware „Hiddentear“ enthält. Nach der Infektion hält er zunächst eine Weile still, um den Virenschutz zu umgehen, bevor er Dokumente, Fotos, Videos, Datenbanken und andere wichtige Dateien mit AES verschlüsselt. Im Code des Schädlings haben die Sicherheitsexperten allerdings Fehlermeldungen auf Hindi gefunden, die darauf hindeuten, dass die Malware in Indien adaptiert wurde. Das wiederum passt zur ersten wirklich erstaunlichen Entdeckung bei GoodWill: Die von den Erpressern in ihrem Popup angegebene Email-Adresse konnte CloudSEK zu einem indischen IT-Security-Anbieter zurückverfolgen.

Soziale Verantwortung
Die Ransomware fordert uner anderem dazu auf, einen Obdachlosen zu beschenken
© Halfpoint - AdobeStock

Noch ungewöhnlicher an GoodWill ist jedoch das geforderte Lösegeld. Statt ihre Daten mit Kryptowährungen wie Bitcoins freizukaufen, müssen die Opfer drei fest vorgegebene gute Taten ausführen, um den digitalen Ablassbrief in Form der Software zur Entschlüsselung ihrer Daten zu bekommen. Als erstes gilt es, Obdachlosen neue Kleider oder Decken zu bringen. Anschließend müssen sie 5 armen Kindern unter 13 Jahren eine ausgiebige Mahlzeit spendieren, beispielsweise in einem Schnellrestaurant. Werden hier schon manche Opfer Schwierigkeiten haben, in ihrer wohlsituierten Nachbarschaft die passenden Gäste für das Mahl zu finden, können sie sich immerhin noch mit etwas Schummeln behelfen und die Nachbarskids einladen. Nochmals deutlich schwieriger ist insofern die dritte gute Tat zu erfüllen. Dazu müssen die Opfer sich in ein Krankenhaus begeben und dort einen Bedürftigen finden, der sich seine notwendige Behandlung nicht leisten kann, und diese dann für ihn übernehmen. Zum Beweis müssen die Opfer ihre guten Taten mit Fotos, Videos und Audioaufnahmen mit teils festen Vorgaben dokumentieren und auf Facebook posten, sowie die Belege anschließend noch per Email an die Erpresser senden. Bestehen sie deren Überprüfung, soll das Opfer die ersehnte Entschlüsselungssoftware erhalten.

GoodWill Ransomware
Insgesamt verlangt GoodWill den Opfern drei soziale Prüfungen ab
© CloudSEK

Trotz der bemühten Robin-Hood-Romantik bleibt GoodWill eine Schadsoftware und eine Straftat, die erheblichen Schaden anrichten kann. Bisher treibt die Ransomware ihr Unwesen fast ausschließlich in etwas wohlhabenderen Gegenden in den USA. Dass auch das wohl kein Zufall ist, belegt neben der Aufgabenstellung und Hinweisen auf dortige Fast-Food-Ketten auch der Code, in dem die Fachleute eine gezielte Abfrage des Standorts fanden. Eine Ausweitung auf andere Operationsgebiete oder die Übernahme der Malware durch andere Cyberkriminelle kann aber nicht ausgeschlossen werden.


Verwandte Artikel

Computerkriminalität

IT-Security

Matchmaker+