headless 曰く、

被害者に 3 つの善行を求め、実行の様子を撮影した動画や写真などをソーシャルメディアへ投稿することを条件に復号ツールを提供するというランサムウェア「GoodWill」をCloudSEKが分析している (CloudSEKのブログ記事、 Neowin の記事)。

3 つの善行とは (1) ホームレスに新しい衣服や毛布を提供する、(2) 貧しい 13 歳未満の子供を 5 人、ドミノピザかピザハット、KFC のいずれかへ連れて行って好きなものを食べさせる、(3) 病院で治療費を支払えずに困っている人を見つけて肩代わりする、というものだ。(1) から順に実行して相手と一緒に撮影した動画や写真をソーシャルメディアに投稿し、スクリーンショットやリンクを攻撃者に送ると確認後に次の善行が指示される。最後に「GoodWill という名のランサムウェアの被害にあったことで自身をどのように親切な人間へ変えたか」というテーマのソーシャルメディア投稿が求められ、合格すれば復号ツールとパスワードファイル、手順を説明するビデオチュートリアルを含む復号キットが提供されるとのこと。

CloudSEK のランサムウェア分析によると 1,246 個の文字列のうち 91 個がオープンソースの HiddenTear ランサムウェアと重複しており、これを元に GoodWill が作られたとみられる。ランサムウェアグループの電子メールアドレスを追跡するとインドの IT セキュリティサービス企業に結び付き、GoodWill のダッシュボードページなどをホストする IP アドレスはインド・ムンバイに所在するサーバーのものだという。また、文字列の中にはインド英語 (ヒングリッシュ) で書かれたものもあり、インド出身でヒンズー語を話す運用者を示すとのことだ。