印度黑客真奇葩！勒索軟件不圖錢，但要做三件善事

點擊上方“視學算法”，選擇加"星標"或“置頂”

重磅干貨，第一時間送達

金磊 Alex 發(fā)自 凹非寺
量子位 | 公眾號 QbitAI

活久見，活久見。

黑客勒索要錢的司空見慣，但讓你做善事才能解密的……見過嗎？

沒開玩笑，就是這么戲劇性的一幕還真的發(fā)生了。

這個勒索軟件叫做GoodWill（善意）。

遭到它的攻擊，要么會暫時或永久丟失數(shù)據(jù)，要么就永久關閉業(yè)務造成巨大經(jīng)濟損失。

但如其名，這個GoodWill攻擊你不是來要錢的。

它說了，要想拿到解密密鑰，做三件好事兒就行：

1、去幫助無家可歸的流浪漢

2、請至少五個貧窮的孩子吃肯德基必勝客等快餐

3、去醫(yī)院找那些需要幫助的人幫他們付錢

而且GoodWill還補充了一句——過程要拍攝記錄下來哦。

……

咱就是說，家人們，這到底是犯罪還是行善，竟然一時傻傻分不清了。

不過也有網(wǎng)友認為，這是有點“道德綁架”的行為：

“善意”的攻擊

這件事最早是被一家名叫CloudSEK的風險管理公司發(fā)現(xiàn)。

他們發(fā)出警告說：

注意啦！有新的勒索軟件出現(xiàn)了，叫GoodWill。

然后CloudSEK開始追蹤勒索軟件運營商的電子郵件ID，鎖定到了他們“大本營”的位置——印度，孟買。

更具體一點，這是一家印度IT安全解決方案的公司，主要提供的是端到端管理安全服務。

CloudSEK還對這家公司的活動做了分析，然后奇葩的事情就開始嶄露頭角了……

他們發(fā)現(xiàn)：

勒索軟件更感興趣的是促進社會公正，而不是為了要錢。

GoodWill勒索軟件是用.NET編寫的，配備了UPX數(shù)據(jù)包。

它為了中斷動態(tài)分析，將惡意軟件睡眠時間設置為了722.45秒，并利用AESEncrypt功能和AES算法對數(shù)據(jù)進行加密。

GoodWill的一個名為GetCurrentCityAsync的字符串，可以檢測被感染設備的地理位置。

而且它可以加密系統(tǒng)中的每一個文件，包括數(shù)據(jù)庫、照片和視頻，除非受害者得到解密密鑰，否則將無法訪問這些數(shù)據(jù)。

至于這個“解法”，黑客附上了長達三頁的“教程”，然后需要受害者完成三個活動來獲取解密密鑰。

活動一：

向流浪漢捐贈新衣服，記錄下他們的行動，并發(fā)布在社交媒體上。

活動二：

帶五個不那么幸運的孩子去達美樂、必勝客或肯德基吃飯，拍照、錄視頻，并把它們發(fā)布在社交媒體上。

活動三：

在附近的醫(yī)院，向任何需要緊急醫(yī)療但負擔不起的人提供經(jīng)濟援助，錄制音頻，并分享到網(wǎng)上。

但完成這三個任務還不算完。

被攻擊的人還得在Facebook或Instagram上寫“小作文”——

《我是如何從一名GoodWill受害者變成善良的人的》

“小作文”寫完之后，GoodWill就會給受害者分享完整的解密工具包。

包括主要的解密工具、密碼文件，還有一個視頻教程手把手教你如何恢復所有重要文件。

CloudSEK研究人員還發(fā)現(xiàn)了這個GoodWill與HiddenTear勒索病毒還有一定的關系。

HiddenTear 是一個由土耳其程序員開發(fā)的開源勒索軟件，其PoC隨后被發(fā)布在了GitHub上。

而在GoodWill勒索軟件的1246個字符串中，有91個與HiddenTear重合。

研究人員認為，GoodWill可能已經(jīng)獲得了權限，允許他們通過必要的修改來創(chuàng)建一個新的勒索軟件。

此前也有黑客開發(fā)勒索軟件來“做好事”

除了讓遭到攻擊者行善事來解除勒索外，之前還有別的勒索軟件玩出了其他花樣。

2021年，俄羅斯黑客團伙DarkSide入侵并劫持了一家美國公司的燃油管道運輸管理系統(tǒng)，要求他們交贖金才放過。

這幫黑客還開設了一個獨立網(wǎng)站，上面炫耀式地列出了他們敲詐過哪些公司、弄到了多少錢。

不過他們竟然一面敲詐，一面又把敲詐所得捐給了慈善組織，還聲稱不會入侵學校、醫(yī)院、非營利組織等的系統(tǒng)。

△DarkSide的一筆捐給“國際兒童基金會”的捐款

在去年DarkSide“玩大了”搞癱美國東部汽油網(wǎng)絡之后，他們迫于壓力解散了。（不過業(yè)內人士懷疑他們只是換了個馬甲）

雖然或許出發(fā)點是好的，但使用惡意軟件來勒索他人行善并不能算真正的善舉。

除了一般都是非法的之外，還容易讓他人對信息安全問題陷入恐慌。

嗯，所以：

行善道路千萬條，遵紀守法第一條。

One More Thing

調皮的網(wǎng)友在看到這種黑客的行為之后，還展現(xiàn)出了不一樣的畫風……

竟然求著被攻擊：

做一個病毒，一到下午六點就鎖死電腦，第二天9點才能使用。

參考鏈接：

[1]https://weibo.com/1865990891/Lv3ZBvAVD?type=comment#_rnd1653716814062
[2]https://www.hackread.com/goodwill-ransomware-food-poor-decrypt-locked-files/
[3]https://cloudsek.com/threatintelligence/goodwill-ransomware-forces-victims-to-donate-to-the-poor-and-provides-financial-assistance-to-patients-in-need/
[4]https://www.theregister.com/2022/05/26/promoting_goodwill_via_malware_extortion/?utm_source=hs_email&utm_medium=email&_hsenc=p2ANqtz—TKCtbXJep1PAQuGcfMEsmoXT_G6IFSvCdNwwdqMaMi2dm90r7HCR5fpXLo2LsDCRszc1k

— 完 —

點個在看 paper不斷！