Home GoodWill Ransomware: guía completa

GoodWill Ransomware: guía completa

GoodWill ransomware es un tipo de malware que infecta una computadora objetivo y cifra archivos, haciéndolos inaccesibles para el usuario. Se descubrió por primera vez en marzo de 2022 y se considera una nueva variante de la familia de ransomware Jasmin, creada a partir de su herramienta de código abierto. Lo que diferencia a GoodWill de otras cepas de ransomware es su exigencia de que las víctimas realicen actos caritativos o donen a causas sociales para recuperar el acceso a sus archivos, en una táctica similar al ransomware Malas. Las acciones específicas requeridas por el ransomware GoodWill pueden variar, pero a menudo implican donar dinero o ropa a los pobres. El grupo de ransomware afirma estar interesado en ayudar a los menos afortunados, en lugar de extorsionar a las víctimas por motivos financieros. Las víctimas deben realizar tres buenas acciones predeterminadas, como donar ropa a las personas sin hogar, alimentar a los niños menos afortunados y brindar asistencia financiera a los pacientes del hospital. También deben documentar y compartir sus actos de bondad en las redes sociales. Por lo general, a las víctimas se les da una fecha límite para completar los actos caritativos, después del cual sus archivos pueden eliminarse permanentemente o el monto del rescate puede aumentar.

Los expertos de SalvageData recomiendan medidas proactivas de seguridad de datos, como copias de seguridad periódicas, prácticas sólidas de ciberseguridad y mantener el software actualizado, para protegerse contra ataques de ransomware. Y,En caso de un ataque de ransomware, comuníquese con nuestroexpertos en recuperación de ransomwareinmediatamente.

¿Qué tipo de malware es GoodWill?

GoodWill es un tipo de malware identificado por una empresa de ciberseguridad con sede en la India como una cepa de ransomware. Es una forma única de malware que obliga a las víctimas a realizar actos de caridad y bondad a cambio de la clave de descifrado. Algunas características notables del ransomware GoodWill incluyen:

  • Escrito en .NET: El ransomware se desarrolla utilizando .NET framework, una plataforma de desarrollo de software.
  • Algoritmo de cifrado AES: GoodWill ransomware utiliza el algoritmo de cifrado AES para bloquear el acceso a archivos confidenciales, lo que dificulta que las víctimas recuperen sus datos sin la clave de descifrado.
  • Dormir durante 722,45 segundos: El malware incorpora una función de suspensión, que retrasa su ejecución aproximadamente 722,45 segundos. Esta característica tiene como objetivo interferir con el análisis dinámico, lo que dificulta que los investigadores de seguridad estudien el comportamiento del ransomware.

Después del proceso de cifrado, GoodWill ransomware muestra una nota de rescate de varias páginas que requiere que las víctimas realicen tres actividades sociales para obtener la clave de descifrado. Estas actividades pueden incluir donaciones a los pobres, brindar asistencia financiera a pacientes necesitados o realizar otros actos de bondad.

Todo lo que sabemos sobre el ransomware GoodWill

Nombre confirmado

  • virus de buena voluntad

Tipo de amenaza

  • ransomware
  • Virus criptográfico
  • casillero de archivos
  • Doble extorsión

Extensión de archivos cifrados

  • .gdwill

¿Existe un descifrador gratuito disponible?No, no existe un descifrador público para el ransomware GoodWill.Métodos de distribución

  • Correos electrónicos de phishing
  • Credenciales comprometidas
  • Dispositivos no administrados o trae tu propio dispositivo (BYOD)
  • Aplicaciones orientadas a Internet

Consecuencias

  • Los archivos están cifrados y bloqueados.
  • Fuga de datos
  • Doble extorsión

¿Qué hay en la nota de rescate de GoodWill?

El ransomware GoodWill muestra una nota de rescate de varias páginas que requiere que las víctimas realicen tres actividades sociales para obtener la clave de descifrado. Estas actividades pueden incluir donar ropa nueva a personas sin hogar, llevar a niños menos afortunados a un restaurante de comida rápida para que les den un capricho y brindar asistencia financiera a cualquiera que necesite atención médica urgente pero no pueda pagarla. Las víctimas deben documentar y compartir sus actos de bondad en las redes sociales. La nota de rescate no contiene un nombre específico, pero es una característica única del ransomware GoodWill que lo distingue de otras cepas de ransomware.

Si se da cuenta de que es víctima de ransomware, ponerse en contacto con los expertos en eliminación de ransomware de SalvageData le proporcionará un servicio seguro de recuperación de datos y eliminación de ransomware después de un ataque.

¿Cómo infecta el ransomware GoodWill una máquina?

Los correos electrónicos de phishing, las credenciales comprometidas, los dispositivos no administrados o traiga su propio dispositivo (BYOD) y las aplicaciones conectadas a Internet son puntos de entrada comunes para el ransomware, incluido el ransomware GoodWill. Una vez que el sistema está infectado, el gusano ransomware GoodWill cifra documentos, fotos, videos, bases de datos y otros archivos importantes y los vuelve inaccesibles para las víctimas. Los archivos cifrados reciben la extensión de archivo ".gdwill". Después del proceso de cifrado, GoodWill ransomware muestra una nota de rescate de varias páginas que requiere que las víctimas realicen tres actividades sociales para obtener la clave de descifrado.

Correos electrónicos de phishing

El phishing es una práctica fraudulenta en la que un atacante se hace pasar por una entidad o persona acreditada en un correo electrónico u otra forma de comunicación. Los correos electrónicos de phishing a menudo cuentan una historia para engañar a los destinatarios para que hagan clic en un enlace o abran un archivo adjunto, como afirmar que hay un problema con su cuenta u ofrecer un cupón para cosas gratis. Los atacantes comúnmente usan correos electrónicos de phishing para distribuir enlaces o archivos adjuntos maliciosos que pueden extraer credenciales de inicio de sesión, números de cuenta y otra información personal de las víctimas.

Credenciales comprometidas

Los operadores de ransomware pueden obtener acceso a los sistemas utilizando credenciales robadas o débiles. Esto puede ocurrir a través de varios medios, como el relleno de credenciales, donde los atacantes utilizan nombres de usuario y contraseñas previamente filtrados para obtener acceso no autorizado a las cuentas.

Dispositivos no administrados o trae tu propio dispositivo (BYOD)

Los dispositivos no administrados o las políticas BYOD pueden introducir vulnerabilidades en una red a través de dispositivos no seguros o comprometidos.

Aplicaciones orientadas a Internet

Los operadores de ransomware pueden explotar las aplicaciones conectadas a Internet para obtener acceso no autorizado a los sistemas. Las organizaciones deben asegurarse de que sus aplicaciones estén adecuadamente protegidas y actualizadas para minimizar el riesgo de explotación por parte de los operadores de ransomware.

¿Cómo funciona el ransomware GoodWill?

GoodWill ransomware es una forma única de malware que obliga a las víctimas a realizar actos de caridad y bondad a cambio de la clave de descifrado. Así es como funciona GoodWill ransomware:

Infección

GoodWill ransomware puede infectar un sistema a través de varios medios, incluidos correos electrónicos de phishing, credenciales comprometidas, dispositivos no administrados o trae tu propio dispositivo (BYOD) y aplicaciones conectadas a Internet.

Cifrado

Una vez infectado el sistema, el gusano ransomware GoodWill cifra documentos, fotografías, vídeos, bases de datos y otros archivos importantes y los vuelve inaccesibles para las víctimas. Los archivos cifrados reciben la extensión de archivo ".gdwill". GoodWill ransomware utiliza el algoritmo de cifrado AES para cifrar los archivos de las víctimas. AES es un estándar de cifrado ampliamente utilizado que se considera seguro y sólido. También es extremadamente difícil de romper.

Nota de rescate

Después del proceso de cifrado, GoodWill ransomware muestra una nota de rescate de varias páginas que requiere que las víctimas realicen tres actividades sociales para obtener la clave de descifrado. Estas actividades pueden incluir donar ropa nueva a personas sin hogar, llevar a niños menos afortunados a un restaurante de comida rápida para que les den un capricho y brindar asistencia financiera a cualquiera que necesite atención médica urgente pero no pueda pagarla. Las víctimas deben documentar y compartir sus actos de bondad en las redes sociales para recibir la clave de descifrado.

Descifrado

Una vez que las víctimas han completado las actividades requeridas y las han compartido en las redes sociales, los operadores del ransomware GoodWill les proporcionan la clave de descifrado para recuperar sus archivos.

¡No cumpla con la demanda de rescate!Aunque esto parezca un “Robin Hood” de la vida real, el grupo GoodWill sigue siendo un grupo criminal de hackers. Por lo tanto, comuníquese con las autoridades locales y con un servicio de eliminación de ransomware para restaurar sus archivos y eliminar cualquier amenaza potencial.

Cómo manejar un ataque de ransomware GoodWill

El primer paso para recuperarse de un ataque de GoodWill es aislar la computadora infectada desconectándola de Internet y eliminando cualquier dispositivo conectado. Luego, debes contactar a las autoridades locales. En el caso de los residentes y empresas estadounidenses, es eloficina local del FBIy elCentro de denuncias de delitos en Internet (IC3).Para informar un ataque de ransomware, debe recopilar toda la información que pueda al respecto, incluida:

  • Capturas de pantalla de la nota de rescate
  • Comunicaciones con actores de amenazas (si los tiene)
  • Una muestra de un archivo cifrado

Sin embargo, si prefierescontactar profesionales, entonces no hagas nada.Deje cada máquina infectada como estáy pide unservicio de eliminación de ransomware de emergencia.

Lectura recomendada:MEOW ransomware: guía completa

Reiniciar o apagar el sistema puede comprometer el servicio de recuperación. Capturar la RAM de un sistema activo puede ayudar a obtener la clave de cifrado, y capturar un archivo dropper, es decir, un archivo que ejecuta la carga maliciosa, podría sufrir ingeniería inversa y conducir al descifrado de los datos o a comprender cómo funciona.

Qué NO hacer después de un ataque de ransomware

Usted debeno eliminar el ransomwarey conservar todas las pruebas del ataque. Eso es importante paraforense digitalpara que los expertos puedan rastrear hasta el grupo de piratas informáticos e identificarlos. Es utilizando los datos de su sistema infectado que las autoridades puedenInvestigar el ataque y encontrar al responsable.Una investigación de un ciberataque no se diferencia de cualquier otra investigación criminal: necesita pruebas para encontrar a los atacantes.

1. Comuníquese con su proveedor de respuesta a incidentes

Una respuesta a un incidente cibernético es el proceso de responder y gestionar un incidente de ciberseguridad. Un anticipo de respuesta a incidentes es un acuerdo de servicio con un proveedor de ciberseguridad que permite a las organizaciones obtener ayuda externa con incidentes de ciberseguridad. Proporciona a las organizaciones una forma estructurada de experiencia y soporte a través de un socio de seguridad, lo que les permite responder de manera rápida y efectiva durante un incidente cibernético. Un anticipo de respuesta a incidentes ofrece tranquilidad a las organizaciones, ofreciendo soporte experto antes y después de un incidente de ciberseguridad. La naturaleza y estructura específicas de un contrato de respuesta a incidentes variarán según el proveedor y los requisitos de la organización. Un buen contrato de respuesta a incidentes debe ser sólido pero flexible y brindar servicios probados para mejorar la postura de seguridad a largo plazo de una organización.Si se comunica con su proveedor de servicios de IR, él puede hacerse cargo de inmediato y guiarlo en cada paso de la recuperación del ransomware.Sin embargo, si decide eliminar el ransomware usted mismo y recuperar los archivos con su equipo de TI, puede seguir los siguientes pasos.

2. Identificar la infección ransomware

Puede identificar qué ransomware infectó su máquina por la extensión del archivo (algunos ransomware usan la extensión del archivo como nombre),usando una herramienta de identificación de ransomware, o estará en la nota de rescate. Con esta información, puede buscar una clave de descifrado pública. También puede verificar el tipo de ransomware por sus IOC. Los indicadores de compromiso (IOC) son pistas digitales que los profesionales de la ciberseguridad utilizan para identificar compromisos del sistema y actividades maliciosas dentro de una red o entorno de TI. Son esencialmente versiones digitales de evidencia dejada en la escena del crimen, y los IOC potenciales incluyen tráfico de red inusual, inicios de sesión de usuarios privilegiados de países extranjeros, solicitudes DNS extrañas, cambios en los archivos del sistema y más. Cuando se detecta un COI, los equipos de seguridad evalúan posibles amenazas o validan su autenticidad. Los IOC también proporcionan evidencia de a qué tenía acceso un atacante si se infiltraba en la red.

3. Eliminar el ransomware y eliminar los kits de exploits

Antes de recuperar sus datos, debe garantizar que su dispositivo esté libre de ransomware y que los atacantes no puedan realizar un nuevo ataque a través de kits de exploits u otras vulnerabilidades. Un servicio de eliminación de ransomware puede eliminar el ransomware, crear un documento forense para su investigación, eliminar vulnerabilidades y recuperar sus datos.

4. Utilice una copia de seguridad para restaurar los datos.

Las copias de seguridad son la forma más eficiente de recuperar datos. Asegúrese de realizar copias de seguridad diarias o semanales, según su uso de datos.

5. Póngase en contacto con un servicio de recuperación de ransomware

Si no tiene una copia de seguridad o necesita ayuda para eliminar el ransomware y eliminar las vulnerabilidades, comuníquese con un servicio de recuperación de datos. Pagar el rescate no garantiza que se le devolverán sus datos. La única forma garantizada de restaurar cada archivo es si tiene una copia de seguridad del mismo. Si no lo hace, los servicios de recuperación de datos de ransomware pueden ayudarlo a descifrar y recuperar los archivos. Los expertos de SalvageData pueden restaurar sus archivos de manera segura y evitar que GoodWill ransomware ataque su red nuevamente. Comuníquese con nuestros expertos las 24 horas, los 7 días de la semana para obtener un servicio de recuperación de emergencia.

Prevenga el ataque del ransomware GoodWill

Prevenir el ransomware es la mejor solución para la seguridad de los datos. es más fácil y económico que recuperarse de ellos. GoodWill ransomware puede costarle el futuro a su empresa e incluso cerrar sus puertas. Al tomar estas medidas proactivas, las personas y las organizaciones pueden reducir el riesgo de un ataque de GoodWill ransomware y proteger sus datos para que no se cifren y se retengan para pedir un rescate. Estos son algunos consejos para asegurarse de que puedaevitar ataques de ransomware:

  • Educar a los empleadossobre ciberseguridad y concienciación sobre el phishing para ayudarles a reconocer y evitar los intentos de phishing.
  • Implementar medidas de seguridad, como firewalls, software antivirus y sistemas de detección de intrusiones, para detectar y bloquear el tráfico malicioso.
  • Mantente alertay monitorear la actividad de la red para detectar cualquier signo de comportamiento sospechoso.
  • Mantenga el software actualizadocon los últimos parches de seguridad para evitar que el ransomware aproveche vulnerabilidades sin parches.
  • Implementar fuertes controles de acceso,como la autenticación multifactor y el monitoreo regular de credenciales, para evitar que los operadores de ransomware obtengan acceso a los sistemas utilizando credenciales robadas o débiles.
  • Dispositivos seguros no administrados y políticas BYODimplementando medidas de seguridad como cifrado de dispositivos y capacidades de borrado remoto.
  • Escanee y parchee periódicamente las aplicaciones conectadas a Internetpara evitar que los operadores de ransomware exploten las vulnerabilidades.

Related Posts

Cómo habilitar el modo de cámara básica en Windows 11

Cómo habilitar el modo de cámara básica en Windows 11

2025-03-29
Ransomware Blackbyte: todo lo que necesita saber

Ransomware Blackbyte: todo lo que necesita saber

2025-04-30
Cómo agregar equipos de Microsoft a Outlook fácilmente

Cómo agregar equipos de Microsoft a Outlook fácilmente

2025-05-07
3 formas de iniciar sesión en otro usuario en Windows 10

3 formas de iniciar sesión en otro usuario en Windows 10

2025-05-07
Teléfono de Android tomando fotos por sí sola

Teléfono de Android tomando fotos por sí sola

2025-04-16
Teléfono de Android tomando fotos por sí sola

Teléfono de Android tomando fotos por sí sola

2025-04-16
Cómo solucionar las redes wifi faltantes en Windows 11

Cómo solucionar las redes wifi faltantes en Windows 11

2025-04-27
Cómo solucionarlo: debería utilizar un caché de objetos persistente en WordPress

Cómo solucionarlo: debería utilizar un caché de objetos persistente en WordPress

2024-12-21
Prueba de velocidad de Internet

Prueba de velocidad de Internet

2025-03-20
Cómo mantenerse financieramente estable mientras construye un proyecto paralelo

Cómo mantenerse financieramente estable mientras construye un proyecto paralelo

2025-09-24
Geek logró ejecutar un procesador AMD EPYC 4124P en una placa base B650 y overclockearlo a 6.7 GHz

Geek logró ejecutar un procesador AMD EPYC 4124P en una placa base B650 y overclockearlo a 6.7 GHz

2024-09-16
Cómo solucionarlo: debería utilizar un caché de objetos persistente en WordPress

Cómo solucionarlo: debería utilizar un caché de objetos persistente en WordPress

2025-02-26
teléfono inteligente

teléfono inteligente

2025-03-22
Noticias tecnológicas

Noticias tecnológicas

2025-01-21
Prueba de frecuencia de actualización

Prueba de frecuencia de actualización

2025-03-01