活久見，印度黑客竟然“勒索”用戶行善

黑客勒索要錢的司空見慣，但讓你做善事才能解密的……見過(guò)嗎？

沒開玩笑，就是這么戲劇性的一幕還真的發(fā)生了。

這個(gè)勒索軟件叫做GoodWill（善意）。

遭到它的攻擊，要么會(huì)暫時(shí)或永久丟失數(shù)據(jù)，要么就永久關(guān)閉業(yè)務(wù)造成巨大經(jīng)濟(jì)損失。

但如其名，這個(gè)GoodWill攻擊你不是來(lái)要錢的。

它說(shuō)了，要想拿到解密密鑰，做三件好事兒就行：

1、去幫助無(wú)家可歸的流浪漢

2、請(qǐng)至少五個(gè)貧窮的孩子吃肯德基必勝客等快餐

3、去醫(yī)院找那些需要幫助的人幫他們付錢

而且GoodWill還補(bǔ)充了一句——過(guò)程要拍攝記錄下來(lái)哦。

……

咱就是說(shuō)，家人們，這到底是犯罪還是行善，竟然一時(shí)傻傻分不清了。

不過(guò)也有網(wǎng)友認(rèn)為，這是有點(diǎn)“道德綁架”的行為：

“善意”的攻擊

這件事最早是被一家名叫CloudSEK的風(fēng)險(xiǎn)管理公司發(fā)現(xiàn)。

他們發(fā)出警告說(shuō)：

注意啦！有新的勒索軟件出現(xiàn)了，叫GoodWill。

然后CloudSEK開始追蹤勒索軟件運(yùn)營(yíng)商的電子郵件ID，鎖定到了他們“大本營(yíng)”的位置——印度，孟買。

更具體一點(diǎn)，這是一家印度IT安全解決方案的公司，主要提供的是端到端管理安全服務(wù)。

CloudSEK還對(duì)這家公司的活動(dòng)做了分析，然后奇葩的事情就開始嶄露頭角了……

他們發(fā)現(xiàn)：

勒索軟件更感興趣的是促進(jìn)社會(huì)公正，而不是為了要錢。

GoodWill勒索軟件是用.NET編寫的，配備了UPX數(shù)據(jù)包。

它為了中斷動(dòng)態(tài)分析，將惡意軟件睡眠時(shí)間設(shè)置為了722.45秒，并利用AESEncrypt功能和AES算法對(duì)數(shù)據(jù)進(jìn)行加密。

GoodWill的一個(gè)名為GetCurrentCityAsync的字符串，可以檢測(cè)被感染設(shè)備的地理位置。

而且它可以加密系統(tǒng)中的每一個(gè)文件，包括數(shù)據(jù)庫(kù)、照片和視頻，除非受害者得到解密密鑰，否則將無(wú)法訪問這些數(shù)據(jù)。

至于這個(gè)“解法”，黑客附上了長(zhǎng)達(dá)三頁(yè)的“教程”，然后需要受害者完成三個(gè)活動(dòng)來(lái)獲取解密密鑰。

活動(dòng)一：

向流浪漢捐贈(zèng)新衣服，記錄下他們的行動(dòng)，并發(fā)布在社交媒體上。

活動(dòng)二：

帶五個(gè)不那么幸運(yùn)的孩子去達(dá)美樂、必勝客或肯德基吃飯，拍照、錄視頻，并把它們發(fā)布在社交媒體上。

活動(dòng)三：

在附近的醫(yī)院，向任何需要緊急醫(yī)療但負(fù)擔(dān)不起的人提供經(jīng)濟(jì)援助，錄制音頻，并分享到網(wǎng)上。

但完成這三個(gè)任務(wù)還不算完。

被攻擊的人還得在Facebook或Instagram上寫“小作文”——

《我是如何從一名GoodWill受害者變成善良的人的》

“小作文”寫完之后，GoodWill就會(huì)給受害者分享完整的解密工具包。

包括主要的解密工具、密碼文件，還有一個(gè)視頻教程手把手教你如何恢復(fù)所有重要文件。

CloudSEK研究人員還發(fā)現(xiàn)了這個(gè)GoodWill與HiddenTear勒索病毒還有一定的關(guān)系。

HiddenTear 是一個(gè)由土耳其程序員開發(fā)的開源勒索軟件，其PoC隨后被發(fā)布在了GitHub上。

而在GoodWill勒索軟件的1246個(gè)字符串中，有91個(gè)與HiddenTear重合。

研究人員認(rèn)為，GoodWill可能已經(jīng)獲得了權(quán)限，允許他們通過(guò)必要的修改來(lái)創(chuàng)建一個(gè)新的勒索軟件。

此前也有黑客開發(fā)勒索軟件來(lái)“做好事”

除了讓遭到攻擊者行善事來(lái)解除勒索外，之前還有別的勒索軟件玩出了其他花樣。

2021年，俄羅斯黑客團(tuán)伙DarkSide入侵并劫持了一家美國(guó)公司的燃油管道運(yùn)輸管理系統(tǒng)，要求他們交贖金才放過(guò)。

這幫黑客還開設(shè)了一個(gè)獨(dú)立網(wǎng)站，上面炫耀式地列出了他們敲詐過(guò)哪些公司、弄到了多少錢。

不過(guò)他們竟然一面敲詐，一面又把敲詐所得捐給了慈善組織，還聲稱不會(huì)入侵學(xué)校、醫(yī)院、非營(yíng)利組織等的系統(tǒng)。

△DarkSide的一筆捐給“國(guó)際兒童基金會(huì)”的捐款

在去年DarkSide“玩大了”搞癱美國(guó)東部汽油網(wǎng)絡(luò)之后，他們迫于壓力解散了。（不過(guò)業(yè)內(nèi)人士懷疑他們只是換了個(gè)馬甲）

雖然或許出發(fā)點(diǎn)是好的，但使用惡意軟件來(lái)勒索他人行善并不能算真正的善舉。

除了一般都是非法的之外，還容易讓他人對(duì)信息安全問題陷入恐慌。

嗯，所以：

行善道路千萬(wàn)條，遵紀(jì)守法第一條。

One More Thing

調(diào)皮的網(wǎng)友在看到這種黑客的行為之后，還展現(xiàn)出了不一樣的畫風(fēng)……

竟然求著被攻擊：

做一個(gè)病毒，一到下午六點(diǎn)就鎖死電腦，第二天9點(diǎn)才能使用。

參考鏈接：

[1]https://weibo.com/1865990891/Lv3ZBvAVD?type=comment#_rnd1653716814062
[2]https://www.hackread.com/goodwill-ransomware-food-poor-decrypt-locked-files/
[3]https://cloudsek.com/threatintelligence/goodwill-ransomware-forces-victims-to-donate-to-the-poor-and-provides-financial-assistance-to-patients-in-need/
[4]https://www.theregister.com/2022/05/26/promoting_goodwill_via_malware_extortion/?utm_source=hs_email&utm_medium=email&_hsenc=p2ANqtz—TKCtbXJep1PAQuGcfMEsmoXT_G6IFSvCdNwwdqMaMi2dm90r7HCR5fpXLo2LsDCRszc1k

最后給大家分享我寫的SQL兩件套：《SQL基礎(chǔ)知識(shí)第二版》和《SQL高級(jí)知識(shí)第二版》的PDF電子版。里面有各個(gè)語(yǔ)法的解釋、大量的實(shí)例講解和批注等等，非常通俗易懂，方便大家跟著一起來(lái)實(shí)操。

有需要的讀者可以下載學(xué)習(xí)，在下面的公眾號(hào)「數(shù)據(jù)前線」(非本號(hào))后臺(tái)回復(fù)關(guān)鍵字：SQL，就行
數(shù)據(jù)前線
——End——
后臺(tái)回復(fù)：1024，獲取一份精心整理的技術(shù)干貨
后臺(tái)回復(fù)：進(jìn)群，帶你進(jìn)入高手如云的交流群。

推薦閱讀
執(zhí)行count(1)、count(*) 與 count(列名) 到底有什么區(qū)別？
為什么MySQL不推薦使用子查詢和JOIN？
盤點(diǎn)MySQL慢查詢的12個(gè)原因
SQL中 LEFT JOIN 左表合并去重實(shí)用技巧
學(xué) SQL 必須了解的10個(gè)高級(jí)概念