印度駭客真奇葩！勒索軟體不圖錢，但要做三件善事

金磊 Alex 發自 凹非寺

量子位 | 公眾號 QbitAI

活久見，活久見。

駭客

勒索要錢的司空見慣，但讓你

做善事

才能解密的……見過嗎？

沒開玩笑，就是這麼戲劇性的一幕還真的發生了。

這個勒索軟體叫做

GoodWill

（善意）。

遭到它的攻擊，要麼會暫時或永久丟失資料，要麼就永久關閉業務造成巨大經濟損失。

但如其名，這個GoodWill攻擊你

不是來要錢的

。

它說了，要想拿到解密金鑰，做

三件好事兒

就行：

1、去幫助無家可歸的流浪漢

2、請至少五個貧窮的孩子吃肯德基必勝客等快餐

3、去醫院找那些需要幫助的人幫他們付錢

而且GoodWill還補充了一句——過程要

拍攝記錄

下來哦。

咱就是說，家人們，這到底是犯罪還是行善，竟然一時傻傻分不清了。

不過也有網友認為，這是有點“道德綁架”的行為：

“善意”的攻擊

這件事最早是被一家名叫

CloudSEK

的風險管理公司發現。

他們發出警告說：

注意啦！有新的勒索軟體出現了，叫GoodWill。

然後CloudSEK開始追蹤勒索軟體運營商的電子郵件ID，鎖定到了他們“大本營”的位置——

印度

，

孟買

。

更具體一點，這是一家印度IT安全解決方案的公司，主要提供的是端到端管理安全服務。

CloudSEK還對這家公司的活動做了分析，然後

奇葩

的事情就開始

嶄露頭角

了……

他們發現：

勒索軟體更感興趣的是促進社會公正，而不是為了要錢。

GoodWill勒索軟體是用。NET編寫的，配備了UPX資料包。

它為了中斷動態分析，將惡意軟體睡眠時間設定為了722。45秒，並利用AESEncrypt功能和AES演算法對資料進行加密。

GoodWill的一個名為GetCurrentCityAsync的字串，可以檢測被感染裝置的地理位置。

而且它可以加密系統中的每一個檔案，包括資料庫、照片和影片，除非受害者得到解密金鑰，否則將無法訪問這些資料。

至於這個“解法”，駭客附上了長達

三頁的“教程”

，然後需要受害者完成三個活動來獲取解密金鑰。

活動一：

向流浪漢捐贈新衣服，記錄下他們的行動，併發布在社交媒體上。

活動二：

帶五個不那麼幸運的孩子去達美樂、必勝客或肯德基吃飯，拍照、錄影片，並把它們釋出在社交媒體上。

活動三：

在附近的醫院，向任何需要緊急醫療但負擔不起的人提供經濟援助，錄製音訊，並分享到網上。

但完成這三個任務還不算完。

被攻擊的人還得在Facebook或Instagram上寫

“小作文”

——

《我是如何從一名GoodWill受害者變成善良的人的》

“小作文”寫完之後，GoodWill就會給受害者分享完整的解密工具包。

包括主要的解密工具、密碼檔案，還有一個影片教程手把手教你如何恢復所有重要檔案。

CloudSEK研究人員還發現了這個GoodWill與HiddenTear勒索病毒還有一定的關係。

HiddenTear 是一個由土耳其程式設計師開發的開源勒索軟體，其PoC隨後被髮布在了GitHub上。

而在GoodWill勒索軟體的1246個字串中，有91個與HiddenTear重合。

研究人員認為，GoodWill可能已經獲得了許可權，允許他們透過必要的修改來建立一個新的勒索軟體。

此前也有駭客開發勒索軟體來“做好事”

除了讓遭到攻擊者行善事來解除勒索外，之前還有別的勒索軟體玩出了其他花樣。

2021年，俄羅斯駭客團伙DarkSide入侵併劫持了一家美國公司的燃油管道運輸管理系統，要求他們交贖金才放過。

這幫駭客還開設了一個獨立網站，上面炫耀式地列出了他們敲詐過哪些公司、弄到了多少錢。

不過他們竟然一面敲詐，一面又把敲詐所得捐給了慈善組織，還聲稱不會入侵學校、醫院、非營利組織等的系統。

△DarkSide的一筆捐給“國際兒童基金會”的捐款

在去年DarkSide“玩大了”搞癱美國東部汽油網路之後，他們迫於壓力解散了。（不過業內人士懷疑他們只是換了個馬甲）

雖然或許出發點是好的，但使用惡意軟體來勒索他人行善並不能算真正的善舉。

除了一般都是非法的之外，還容易讓他人對資訊保安問題陷入恐慌。

嗯，所以：

行善道路千萬條，遵紀守法第一條。

One More Thing

調皮的網友在看到這種駭客的行為之後，還展現出了不一樣的畫風……

竟然求著被攻擊：

做一個病毒，一到下午六點就鎖死電腦，第二天9點才能使用。

參考連結：

［1］https：//weibo。com/1865990891/Lv3ZBvAVD？type=comment#_rnd1653716814062

［2］https：//www。hackread。com/goodwill-ransomware-food-poor-decrypt-locked-files/

［3］https：//cloudsek。com/threatintelligence/goodwill-ransomware-forces-victims-to-donate-to-the-poor-and-provides-financial-assistance-to-patients-in-need/

［4］https：//www。theregister。com/2022/05/26/promoting_goodwill_via_malware_extortion/？utm_source=hs_email&utm_medium=email&_hsenc=p2ANqtz—TKCtbXJep1PAQuGcfMEsmoXT_G6IFSvCdNwwdqMaMi2dm90r7HCR5fpXLo2LsDCRszc1k