量子位QbitAI

量子位QbitAI官方澎湃号

2022-05-30 09:19

金磊 Alex 发自 凹非寺

量子位 | 公众号 QbitAI

活久见，活久见。

黑客勒索要钱的司空见惯，但让你做善事才能解密的……见过吗？

没开玩笑，就是这么戏剧性的一幕还真的发生了。

这个勒索软件叫做GoodWill（善意）。

遭到它的攻击，要么会暂时或永久丢失数据，要么就永久关闭业务造成巨大经济损失。

但如其名，这个GoodWill攻击你不是来要钱的。

它说了，要想拿到解密密钥，做三件好事儿就行：

1、去帮助无家可归的流浪汉

2、请至少五个贫穷的孩子吃肯德基必胜客等快餐

3、去医院找那些需要帮助的人帮他们付钱

而且GoodWill还补充了一句——过程要拍摄记录下来哦。

……

咱就是说，家人们，这到底是犯罪还是行善，竟然一时傻傻分不清了。不过也有网友认为，这是有点“道德绑架”的行为：“善意”的攻击

这件事最早是被一家名叫CloudSEK的风险管理公司发现。

他们发出警告说：

注意啦！有新的勒索软件出现了，叫GoodWill。

然后CloudSEK开始追踪勒索软件运营商的电子邮件ID，锁定到了他们“大本营”的位置——印度，孟买。

更具体一点，这是一家印度IT安全解决方案的公司，主要提供的是端到端管理安全服务。

CloudSEK还对这家公司的活动做了分析，然后奇葩的事情就开始崭露头角了……

他们发现：

勒索软件更感兴趣的是促进社会公正，而不是为了要钱。

GoodWill勒索软件是用.NET编写的，配备了UPX数据包。

它为了中断动态分析，将恶意软件睡眠时间设置为了722.45秒，并利用AESEncrypt功能和AES算法对数据进行加密。

GoodWill的一个名为GetCurrentCityAsync的字符串，可以检测被感染设备的地理位置。

而且它可以加密系统中的每一个文件，包括数据库、照片和视频，除非受害者得到解密密钥，否则将无法访问这些数据。

至于这个“解法”，黑客附上了长达三页的“教程”，然后需要受害者完成三个活动来获取解密密钥。

活动一：

向流浪汉捐赠新衣服，记录下他们的行动，并发布在社交媒体上。

活动二：

带五个不那么幸运的孩子去达美乐、必胜客或肯德基吃饭，拍照、录视频，并把它们发布在社交媒体上。

活动三：

在附近的医院，向任何需要紧急医疗但负担不起的人提供经济援助，录制音频，并分享到网上。

但完成这三个任务还不算完。

被攻击的人还得在Facebook或Instagram上写“小作文”——

《我是如何从一名GoodWill受害者变成善良的人的》

“小作文”写完之后，GoodWill就会给受害者分享完整的解密工具包。

包括主要的解密工具、密码文件，还有一个视频教程手把手教你如何恢复所有重要文件。

CloudSEK研究人员还发现了这个GoodWill与HiddenTear勒索病毒还有一定的关系。

HiddenTear 是一个由土耳其程序员开发的开源勒索软件，其PoC随后被发布在了GitHub上。

而在GoodWill勒索软件的1246个字符串中，有91个与HiddenTear重合。

研究人员认为，GoodWill可能已经获得了权限，允许他们通过必要的修改来创建一个新的勒索软件。

此前也有黑客开发勒索软件来“做好事”

除了让遭到攻击者行善事来解除勒索外，之前还有别的勒索软件玩出了其他花样。

2021年，俄罗斯黑客团伙DarkSide入侵并劫持了一家美国公司的燃油管道运输管理系统，要求他们交赎金才放过。

这帮黑客还开设了一个独立网站，上面炫耀式地列出了他们敲诈过哪些公司、弄到了多少钱。

不过他们竟然一面敲诈，一面又把敲诈所得捐给了慈善组织，还声称不会入侵学校、医院、非营利组织等的系统。

△DarkSide的一笔捐给“国际儿童基金会”的捐款

在去年DarkSide“玩大了”搞瘫美国东部汽油网络之后，他们迫于压力解散了。（不过业内人士怀疑他们只是换了个马甲）

虽然或许出发点是好的，但使用恶意软件来勒索他人行善并不能算真正的善举。

除了一般都是非法的之外，还容易让他人对信息安全问题陷入恐慌。

嗯，所以：

行善道路千万条，遵纪守法第一条。

One More Thing

调皮的网友在看到这种黑客的行为之后，还展现出了不一样的画风

……竟然求着被攻击：

做一个病毒，一到下午六点就锁死电脑，第二天9点才能使用。

参考链接：

[1]https://weibo.com/1865990891/Lv3ZBvAVD?type=comment#_rnd1653716814062

[2]https://www.hackread.com/goodwill-ransomware-food-poor-decrypt-locked-files/

[3]https://cloudsek.com/threatintelligence/goodwill-ransomware-forces-victims-to-donate-to-the-poor-and-provides-financial-assistance-to-patients-in-need/

[4]https://www.theregister.com/2022/05/26/promoting_goodwill_via_malware_extortion/?utm_source=hs_email&utm_medium=email&_hsenc=p2ANqtz—TKCtbXJep1PAQuGcfMEsmoXT_G6IFSvCdNwwdqMaMi2dm90r7HCR5fpXLo2LsDCRszc1k

— 完 —

特别声明

本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问http://renzheng.thepaper.cn。

打开APP，阅读体验更佳