金磊 Alex 發自 凹非寺
量子位 | 公眾號 QbitAI
活久見,活久見。
駭客
勒索要錢的司空見慣,但讓你
做善事
才能解密的……見過嗎?
沒開玩笑,就是這麼戲劇性的一幕還真的發生了。
這個勒索軟體叫做
GoodWill
(善意)。
遭到它的攻擊,要麼會暫時或永久丟失資料,要麼就永久關閉業務造成巨大經濟損失。
但如其名,這個GoodWill攻擊你
不是來要錢的
。
它說了,要想拿到解密金鑰,做
三件好事兒
就行:
1、去幫助無家可歸的流浪漢
2、請至少五個貧窮的孩子吃肯德基必勝客等快餐
3、去醫院找那些需要幫助的人幫他們付錢
而且GoodWill還補充了一句——過程要
拍攝記錄
下來哦。
咱就是說,家人們,這到底是犯罪還是行善,竟然一時傻傻分不清了。
不過也有網友認為,這是有點“道德綁架”的行為:
“善意”的攻擊
這件事最早是被一家名叫
CloudSEK
的風險管理公司發現。
他們發出警告說:
注意啦!有新的勒索軟體出現了,叫GoodWill。
然後CloudSEK開始追蹤勒索軟體運營商的電子郵件ID,鎖定到了他們“大本營”的位置——
印度
,
孟買
。
更具體一點,這是一家印度IT安全解決方案的公司,主要提供的是端到端管理安全服務。
CloudSEK還對這家公司的活動做了分析,然後
奇葩
的事情就開始
嶄露頭角
了……
他們發現:
勒索軟體更感興趣的是促進社會公正,而不是為了要錢。
GoodWill勒索軟體是用。NET編寫的,配備了UPX資料包。
它為了中斷動態分析,將惡意軟體睡眠時間設定為了722。45秒,並利用AESEncrypt功能和AES演算法對資料進行加密。
GoodWill的一個名為GetCurrentCityAsync的字串,可以檢測被感染裝置的地理位置。
而且它可以加密系統中的每一個檔案,包括資料庫、照片和影片,除非受害者得到解密金鑰,否則將無法訪問這些資料。
至於這個“解法”,駭客附上了長達
三頁的“教程”
,然後需要受害者完成三個活動來獲取解密金鑰。
活動一:
向流浪漢捐贈新衣服,記錄下他們的行動,併發布在社交媒體上。
活動二:
帶五個不那麼幸運的孩子去達美樂、必勝客或肯德基吃飯,拍照、錄影片,並把它們釋出在社交媒體上。
活動三:
在附近的醫院,向任何需要緊急醫療但負擔不起的人提供經濟援助,錄製音訊,並分享到網上。
但完成這三個任務還不算完。
被攻擊的人還得在Facebook或Instagram上寫
“小作文”
——
《我是如何從一名GoodWill受害者變成善良的人的》
“小作文”寫完之後,GoodWill就會給受害者分享完整的解密工具包。
包括主要的解密工具、密碼檔案,還有一個影片教程手把手教你如何恢復所有重要檔案。
CloudSEK研究人員還發現了這個GoodWill與HiddenTear勒索病毒還有一定的關係。
HiddenTear 是一個由土耳其程式設計師開發的開源勒索軟體,其PoC隨後被髮布在了GitHub上。
而在GoodWill勒索軟體的1246個字串中,有91個與HiddenTear重合。
研究人員認為,GoodWill可能已經獲得了許可權,允許他們透過必要的修改來建立一個新的勒索軟體。
此前也有駭客開發勒索軟體來“做好事”
除了讓遭到攻擊者行善事來解除勒索外,之前還有別的勒索軟體玩出了其他花樣。
2021年,俄羅斯駭客團伙DarkSide入侵併劫持了一家美國公司的燃油管道運輸管理系統,要求他們交贖金才放過。
這幫駭客還開設了一個獨立網站,上面炫耀式地列出了他們敲詐過哪些公司、弄到了多少錢。
不過他們竟然一面敲詐,一面又把敲詐所得捐給了慈善組織,還聲稱不會入侵學校、醫院、非營利組織等的系統。
△DarkSide的一筆捐給“國際兒童基金會”的捐款
在去年DarkSide“玩大了”搞癱美國東部汽油網路之後,他們迫於壓力解散了。(不過業內人士懷疑他們只是換了個馬甲)
雖然或許出發點是好的,但使用惡意軟體來勒索他人行善並不能算真正的善舉。
除了一般都是非法的之外,還容易讓他人對資訊保安問題陷入恐慌。
嗯,所以:
行善道路千萬條,遵紀守法第一條。
One More Thing
調皮的網友在看到這種駭客的行為之後,還展現出了不一樣的畫風……
竟然求著被攻擊:
做一個病毒,一到下午六點就鎖死電腦,第二天9點才能使用。
參考連結:
[1]https://weibo。com/1865990891/Lv3ZBvAVD?type=comment#_rnd1653716814062
[2]https://www。hackread。com/goodwill-ransomware-food-poor-decrypt-locked-files/
[3]https://cloudsek。com/threatintelligence/goodwill-ransomware-forces-victims-to-donate-to-the-poor-and-provides-financial-assistance-to-patients-in-need/
[4]https://www。theregister。com/2022/05/26/promoting_goodwill_via_malware_extortion/?utm_source=hs_email&utm_medium=email&_hsenc=p2ANqtz—TKCtbXJep1PAQuGcfMEsmoXT_G6IFSvCdNwwdqMaMi2dm90r7HCR5fpXLo2LsDCRszc1k