Az elsőként a CloudSEK biztonsági cég munkatársai által azonosított GoodWill zsarolóvírus elnevezéséből már sejteni lehet, hogy nem átlagos ransomware tűnt fel a kiberfenyegetések világában. Az adatokat jogos tulajdonosukól elzáró alkalmazás mögött álló banda ugyanis nem a szokás dolgot (ejtsd: pénzt) követel a pórul járt áldozatoktól, hanem különöböző, jól dokumentált jócselekedeteket. Egészen pontosan hármat, mint a mesékben.

A társadalmi igazságosságot sajátos módszerekkel erősíteni igyekvő hekkerek a beszámoló szerint például takarót osztatnak hajléktalanoknak, vagy szegény gyerekeket vitetnek el gyorsétterembe. A rendszeréből kizárt áldozatnak ezeket a cselekedeteket fényképek, videók készítésével kell igazolnia, majd a "bizonyítékokat" a közösségi médiában megosztva kell tudatnia a világgal, hogy ő bizony törődik elesett embertársaival. A támadók ráadásul utóbbihoz saját illusztrációs keretet is biztosítanak, amelynek a tetején a "Segítek a rászoruló embereknek", az alján pedig a "Kedves vagyok, nagyon-nagyon kedves" felirat látható.

Miután mindhárom feladatot teljesítették, az áldozatoknak "egy gyönyörű cikket" is kell írniuk a közösségi médiában arról, hogy milyen pozitív változásokon ment keresztül azáltal, hogy a GoodWill célpontjává váltak. Amennyiben a csoport megfelelőnek tartja az áldozat teljesítményét, az visszakaphatja digitális életét, azaz a titkosítás feloldásához szükséges programot.

Hingol nyomok

A CloudSEK szakemberei szerint a zsarolók valószínűleg Indiából intézik ügyeiket. Minderre nem csak a csoport által megadott e-mail-cím és a ransomware által használt IP-címek hátterelemzése utal, de az is, hogy a kódban hingol (Hinglish) nyelvű megjegyzésre bukkantak, ami a hindi és az angol nyelv egy sajátságos keveréke.

Arra a biztonsági cég elemzése természetesen nem ad választ, hogy vajon miért gondolják úgy a banda tagjai, hogy attól lesz élhetőbb a világ, ha a jótetteket erőszakkal csikarják ki másokból.