تجبر GoodWill Ransomware الضحايا على التبرع للفقراء وتقدم المساعدة المالية للمرضى المحتاجين

Updated on

August 19, 2025

Published on

May 24, 2022

Read MINUTES

Subscribe to the latest industry news, threats and resources.

Table of Contents

This is also a heading
This is a heading

تقوم مجموعة Goodwill ransomware بنشر طلبات غير عادية جدًا مقابل مفتاح فك التشفير. تجبر المجموعة الشبيهة بـ Robin Hood ضحاياها على التبرع للفقراء وتقدم المساعدة المالية للمرضى المحتاجين. الفئة: ذكاء البرامج الضارةالنوع/العائلة: رانسوم ويرالصناعة: متعددالمنطقة: عالمي

ملخص تنفيذي

كلاود سيكقام فريق أبحاث استخبارات التهديدات التابع لشركة GoodWill مؤخرًا بتحليل برنامج الفدية GoodWill.
تقوم مجموعة برامج الفدية بنشر طلبات غير عادية جدًا مقابل مفتاح فك التشفير. تدعي المجموعة التي تشبه روبن هود أنها مهتمة بمساعدة الأقل حظًا، بدلاً من ابتزاز الضحايا لدوافع مالية.
تشير مذكرة الفدية متعددة الصفحات للمجموعة إلى أن الضحايا يقومون بثلاثة أنشطة ذات دوافع اجتماعية حتى يتمكنوا من تنزيل مفتاح فك التشفير.
حدد باحثو CloudSek بعض القطع الأثرية لمجموعة التهديد التي تشير إلى الإسناد المباشر إلى الهند.

[معرف التسمية التوضيحية = «المرفق _19410" align= «alignnone» width="1395"] GoodWill ransom note page that explains the group’s aim

صفحة ملاحظة حول فدية النوايا الحسنة تشرح هدف المجموعة [/caption]

التحليل والإسناد لبرنامج GoodWill Ransomware

ميزات برنامج الفدية GoodWill

تم تحديد برنامج الفدية GoodWill من قبل باحثي CloudSek في مارس 2022. وكما يوحي اسم مجموعة التهديد، يُزعم أن المشغلين مهتمون بتعزيز العدالة الاجتماعية بدلاً من الأسباب المالية التقليدية. تمكن باحثو CloudSek من تحديد الميزات التالية لـ GoodWill:

تمت كتابة برنامج الفدية في .NET ومعبأ بأدوات حزم UPX.
ينام لمدة 722.45 ثانية للتدخل في التحليل الديناميكي.
وهي تستفيد من وظيفة AES_incrypt للتشفير باستخدام خوارزمية AES.
إحدى السلاسل هي «GetCurrentCityAsync»، والتي تحاول اكتشاف الموقع الجغرافي للجهاز المصاب.

بمجرد الإصابة، تقوم دودة GoodWill ransomware بتشفير المستندات والصور ومقاطع الفيديو وقواعد البيانات والملفات المهمة الأخرى وتجعلها غير قابلة للوصول بدون مفتاح فك التشفير. يقترح الممثلون أن يقوم الضحايا بثلاثة أنشطة ذات دوافع اجتماعية مقابل مفتاح فك التشفير:

النشاط 1: تبرع بملابس جديدة للمشردين، وسجل الحدث، وانشره على وسائل التواصل الاجتماعي.

[معرف التسمية التوضيحية = «المرفق _19411" align= «alignnone» width="1420"] GoodWill Ransomware : Image of Activity 1 described in detail

برنامج الفدية GoodWill: صورة النشاط 1 موصوفة بالتفصيل [/caption]

النشاط 2: اصطحب خمسة أطفال أقل حظًا إلى دومينوز أو بيتزا هت أو كنتاكي فرايد تشيكن للاستمتاع، والتقط الصور ومقاطع الفيديو، وانشرها على وسائل التواصل الاجتماعي.

[معرف التسمية التوضيحية = «المرفق _19412" align= «alignnone» width="1326"] GoodWill Ransomware : Image of Activity 2 described in detail

برنامج الفدية GoodWill: صورة النشاط 2 موصوفة بالتفصيل [/caption]

النشاط 3: تقديم المساعدة المالية لأي شخص يحتاج إلى رعاية طبية عاجلة ولكن لا يستطيع تحمل تكاليفها، في مستشفى قريب، وتسجيل الصوت ومشاركته مع المشغلين.

[معرف التسمية التوضيحية = «المرفق _19413" align= «alignnone» width="1169"] GoodWill Ransomware : Image of Activity 3 and details of acquiring the decryption kit

GoodWill Ransomware : Image of Activity 3 and details of acquiring the decryption kit

GoodWill Ransomware: صورة النشاط 3 وتفاصيل الحصول على مجموعة فك التشفير [/caption]

تطالب مجموعة برامج الفدية الضحايا بتسجيل كل نشاط ونشر الصور ومقاطع الفيديو وما إلى ذلك بشكل إلزامي على حسابات وسائل التواصل الاجتماعي الخاصة بهم.
بمجرد الانتهاء من جميع الأنشطة الثلاثة، يجب على الضحايا أيضًا كتابة ملاحظة على وسائل التواصل الاجتماعي (Facebook أو Instagram) حول «كيف حولت نفسك إلى إنسان طيب من خلال الوقوع ضحية لبرنامج فدية يسمى GoodWill».
نظرًا لعدم وجود ضحايا/أهداف معروفة لمجموعة برامج الفدية، تظل تكتيكاتها وتقنياتها وإجراءاتها غير معروفة.

كيفية الحصول على مجموعة فك التشفير لـ GoodWill Ransomware

عند الانتهاء من جميع الأنشطة الثلاثة، يتحقق مشغلو برامج الفدية من ملفات الوسائط التي شاركها الضحية ومنشوراتها على وسائل التواصل الاجتماعي. سيشارك الممثل بعد ذلك مجموعة فك التشفير الكاملة التي تتضمن أداة فك التشفير الرئيسية وملف كلمة المرور وفيديو تعليمي حول كيفية استرداد جميع الملفات المهمة.

معلومات من المصدر المفتوح

تمكن باحثونا من تتبع عنوان البريد الإلكتروني، الذي قدمته مجموعة برامج الفدية، إلى شركة حلول وخدمات أمن تكنولوجيا المعلومات الهندية، التي تقدم خدمات أمنية مُدارة من البداية إلى النهاية.
عند تحليل برنامج الفدية، استخرج باحثو استخبارات التهديدات في CloudSek سلاسل GoodWill:
- هناك حوالي 1246 سلسلة من برامج الفدية هذه، منها 91 سلسلة تتداخل مع برنامج HiddentTear ransomware.
- HiddentTear هو برنامج فدية مفتوح المصدر تم تطويره بواسطة مبرمج تركي ثم تم إصدار PoC الخاص به على GitHub. ربما تمكن مشغلو GoodWill من الوصول إلى هذا مما يسمح لهم بإنشاء برنامج فدية جديد مع التعديلات اللازمة.
- وجد باحثو CloudSek السلاسل التالية من البرامج الضارة مثيرة للاهتمام:
  - «error hai bhaiya»: هذه السلسلة مكتوبة باللغة الإنجليزية، مما يعني «هناك خطأ يا أخي». يشير هذا إلى أن المشغلين من الهند وأنهم يتحدثون الهندية.

- - «.gdwill»: تشير هذه السلسلة إلى أن امتداد الملف الذي يستخدمه برنامج الفدية في تشفير الملفات هو .gdwill.

اكتشف باحثونا عناصر الشبكة التالية المرتبطة بـ GoodWill. هذه هي أنفاق GoodWill Ransomware التي تعد أيضًا نطاقات فرعية لـ Ngrok.io:
- http://9855-13-235-50-147(.)ngrok(.)io/ (لوحة معلومات برنامج الفدية GoodWill)
- http://9855-13-235-50-147(.)ngrok(.)io/alertmsg(.)zip
- http://9855-13-235-50-147(.)ngrok(.)io/handshake(.)php
- http://84a2-3-109-48-136(.)ngrok(.)io/kit(.)zip

[معرف التسمية التوضيحية = «المرفق _19417" align= «alignnone» width="840"] Dashboard of GoodWill ransomware group as directed from http://9855-13-235-50-147(.)ngrok(.)io

Dashboard of GoodWill ransomware group as directed from http://9855-13-235-50-147(.)ngrok(.)io

لوحة التحكم الخاصة بمجموعة GoodWill Ransomware وفقًا للتوجيهات من http://9855-13-235-50-147(.)ngrok(.)io[/caption] [معرف التسمية التوضيحية = «المرفق _19416" align= «alignnone» width="1917"] Dashboard of GoodWill ransomware group

لوحة التحكم الخاصة بمجموعة GoodWill Ransomware [/caption]

كما هو موضح أعلاه، يتم توفير عناوين IP 3.109.48.136 و 13.235.50.147 كنطاقات فرعية في عنوان URL. في تحقيق مفصل، اكتشف باحثونا أن كلا عنواني IP يقعان في مومباي، الهند.

[معرف التسمية التوضيحية = «المرفق _19419" align= «alignnone» width="822"] IP information on 3.109.48.136 and 13.235.50.147

معلومات IP على 3.109.48.136 و 13.235.50.147 [/caption]

التأثير والتخفيف

التأثيرالتخفيف

يمكن أن تكشف التفاصيل السرية المكشوفة عن الممارسات التجارية والملكية الفكرية.
يمكن أن يؤدي أيضًا إلى فقدان مؤقت، وربما دائم، لبيانات الشركة.
إغلاق محتمل لعمليات الشركة وخسارة الإيرادات المصاحبة.
الخسارة المالية المرتبطة بجهود المعالجة.
الإضرار بسمعة الشركة.
عمليات الاستحواذ المحتملة على الحساب.
يمكن للمجرمين استخدام البيانات الشخصية مثل الاسم وتاريخ الميلاد والعنوان وما إلى ذلك، جنبًا إلى جنب مع الهندسة الاجتماعية وسرقة الهوية.

قم بمراجعة ومراقبة سجلات الأحداث والحوادث لتحديد الأنماط والسلوكيات غير العادية.
قم بتنفيذ تكوينات الأمان على أجهزة البنية التحتية للشبكة مثل جدران الحماية وأجهزة التوجيه.
قم بتمكين الأدوات والتطبيقات التي تمنع تنفيذ البرامج الضارة.
قم بإعادة تعيين بيانات اعتماد تسجيل دخول المستخدم المخترقة وتنفيذ سياسة كلمة مرور قوية.
فرض إجراءات حماية البيانات والنسخ الاحتياطي والاسترداد.
قم بتنفيذ المصادقة متعددة العوامل عبر الأجهزة والأنظمة الأساسية.
إجراء تقييم المهارات الأمنية والتدريب لجميع الموظفين بانتظام.
قم بإجراء تمارين الفريق الأحمر الدورية واختبارات الاختراق.
راقب الحالات الشاذة في حسابات المستخدمين والأنظمة التي يمكن أن تكون مؤشرات لعمليات الاستحواذ المحتملة.

مؤشرات التسوية (IOCs)

MD5: CEA1cb418a313bdc8e67dbd6b9e05ad
شا-1:8 دي 1 اف 5 بي 53 سي 6100 اف سي 5 ايبي اف بي اي 96 اي 4822 دي سي 583 د سي 0
شا-256:0 facf95522637 إيفا 6ea6f7c6a59ea4e6b7380957 a236 ca33a6a0dc82b70323 c
ذاكرة التخزين المؤقت: 27503675151120c514b10412
إيمفاش: f34d5f2d4577 ed6d9ceec516c1f5a744

المراجع

^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol

الملحق

[معرف التسمية التوضيحية = «المرفق _19420" align= «alignnone» width="1465"] Introduction message on initiating the ransomware attack

رسالة تعريفية حول بدء هجوم رانسوم وير [/caption] [معرف التسمية التوضيحية = «المرفق _19421" align= «alignnone» width="1427"] Introduction to GoodWill ransomware

مقدمة إلى برنامج الفدية GoodWill [/caption] [معرف التسمية التوضيحية = «المرفق _19422" align= «alignnone» width="282"] Image explaining how the victim can submit proof of their activities

Image explaining how the victim can submit proof of their activities

صورة توضح كيف يمكن للضحية تقديم دليل على أنشطتها [/caption] [معرف التسمية التوضيحية = «المرفق _19423" align= «alignnone» width="782"] Photo frame provided on completion of all activities

Photo frame provided on completion of all activities

يتم توفير إطار الصورة عند الانتهاء من جميع الأنشطة [/caption]

الإشارات الصحفية

تم ذكر هذا التقرير في

فيروس جديد يجبر الناس على التبرع للفقراء إذا أرادوا استعادة بياناتهم | https://metro.co.uk/2022/05/24/new-ransomware-demands-victims-donate-to-the-poor-to-unlock-their-data-16698304/ | مترو المملكة المتحدة - 24 مايو 2022
برنامج الفدية الجديد يجعل الضحية يتبرع للفقراء ويساعد ماليًا للمرضى المحتاجين | https://economictimes.indiatimes.com/tech/technology/new-ransomware-makes-victim-donate-to-poor-financial-help-to-needy-patients/articleshow/91726417.cms | إيكونوميك تايمز تك - 22 مايو 2022
الجريمة الإلكترونية أو الأعمال الخيرية القسرية؟ برنامج الفدية «Goodwill» يجعل الضحية يتبرع للفقراء ويقدم المساعدة المالية للمرضى المحتاجين | https://www.financialexpress.com/industry/technology/cyber-crime-or-forced-charity-goodwill-ransomware-makes-victim-donate-to-poor-financial-help-to-needy-patients/2533802/ | فاينانشال إكسبريس - 22 مايو 2022
برنامج الفدية الجديد «GoodWill» يجعل الأهداف تتبرع للفقراء وتقدم المساعدة المالية للمرضى المحتاجين | https://www.cnbctv18.com/information-technology/new-goodwill-ransomware-victim-donate-poor-financial-help-needy-patients-cloudsek-13583332.htm | سي إن بي سي تي في 18 - 23 مايو 2022
برنامج الفدية GoodWill الذي تم اكتشافه في الهند يجعل الضحية يتبرع للفقراء، ويقدم المساعدة المالية للمرضى المحتاجين | https://www.businessinsider.in/tech/news/goodwill-ransomware-detected-in-india-makes-victim-donate-to-poor-provides-financial-help-to-needy-patients/amp_articleshow/91736850.cms | بزنس إنسايدر - 23 مايو 2022
تريد Goodwill ransomware منك مساعدة المحتاجين للحصول على مفتاح فك التشفير | https://www.bgr.in/news/goodwill-ransomware-wants-you-to-help-needy-people-to-get-decryption-key-1274011/ | BGR الهند - 23 مايو 2022

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

Table of Contents

This is also a heading
This is a heading

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek

June 12, 2023

تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS

May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.

جدولة عرض تجريبي

Real time Threat Intelligence Data

More information and context about Underground Chatter

On-Demand Research Services

Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.

Trusted by 400+ Top organisations

Get started

Learn more