勒索軟件不圖錢，但要做三件善事，黑客真奇葩！

活久見，活久見。

黑客勒索要錢的司空見慣，但讓你做善事才能解密的……見過嗎？

沒開玩笑，就是這么戲劇性的一幕還真的發生了。

這個勒索軟件叫做GoodWil（善意）。

遭到它的攻擊，要么會暫時或永久丟失數據，要么就永久關閉業務造成巨大經濟損失。

但如其名，這個GoodWill攻擊你不是來要錢的。

它說了，要想拿到解密密鑰，做三件好事兒就行：

1、去幫助無家可歸的流浪漢

2、請至少五個貧窮的孩子吃肯德基必勝客等快餐

3、去醫院找那些需要幫助的人幫他們付錢

而且GoodWill還補充了一句——過程要拍攝記錄下來哦。

咱就是說，家人們，這到底是犯罪還是行善，竟然一時傻傻分不清了。

不過也有網友認為，這是有點“道德綁架”的行為：

“善意”的攻擊

這件事最早是被一家名叫CloudSEK的風險管理公司發現。

他們發出警告說：

注意啦！有新的勒索軟件出現了，叫GoodWill。

然后CloudSEK開始追蹤勒索軟件運營商的電子郵件ID，鎖定到了他們“大本營”的位置——印度，孟買。

更具體一點，這是一家印度IT安全解決方案的公司，主要提供的是端到端管理安全服務。

CloudSEK還對這家公司的活動做了分析，然后奇葩的事情就開始嶄露頭角了……

他們發現：

勒索軟件更感興趣的是促進社會公正，而不是為了要錢。

GoodWill勒索軟件是用.NET編寫的，配備了UPX數據包。

它為了中斷動態分析，將惡意軟件睡眠時間設置為了722.45秒，并利用AESEncrypt功能和AES算法對數據進行加密。

GoodWill的一個名為GetCurrentCityAsync的字符串，可以檢測被感染設備的地理位置。

而且它可以加密系統中的每一個文件，包括數據庫、照片和視頻，除非受害者得到解密密鑰，否則將無法訪問這些數據。

至于這個“解法”，黑客附上了長達三頁的“教程”，然后需要受害者完成三個活動來獲取解密密鑰。

活動一：

向流浪漢捐贈新衣服，記錄下他們的行動，并發布在社交媒體上。

活動二：

帶五個不那么幸運的孩子去達美樂、必勝客或肯德基吃飯，拍照、錄視頻，并把它們發布在社交媒體上。

活動三：

在附近的醫院，向任何需要緊急醫療但負擔不起的人提供經濟援助，錄制音頻，并分享到網上。

但完成這三個任務還不算完。

被攻擊的人還得在Facebook或Instagram上寫“小作文”——

《我是如何從一名GoodWill受害者變成善良的人的》

“小作文”寫完之后，GoodWill就會給受害者分享完整的解密工具包。

包括主要的解密工具、密碼文件，還有一個視頻教程手把手教你如何恢復所有重要文件。

CloudSEK研究人員還發現了這個GoodWill與HiddenTear勒索病毒還有一定的關系。

HiddenTear 是一個由土耳其程序員開發的開源勒索軟件，其PoC隨后被發布在了GitHub上。

而在GoodWill勒索軟件的1246個字符串中，有91個與HiddenTear重合。

研究人員認為，GoodWill可能已經獲得了權限，允許他們通過必要的修改來創建一個新的勒索軟件。

此前也有黑客開發勒索軟件來“做好事”

除了讓遭到攻擊者行善事來解除勒索外，之前還有別的勒索軟件玩出了其他花樣。

2021年，俄羅斯黑客團伙DarkSide入侵并劫持了一家美國公司的燃油管道運輸管理系統，要求他們交贖金才放過。

這幫黑客還開設了一個獨立網站，上面炫耀式地列出了他們敲詐過哪些公司、弄到了多少錢。

不過他們竟然一面敲詐，一面又把敲詐所得捐給了慈善組織，還聲稱不會入侵學校、醫院、非營利組織等的系統。

△DarkSide的一筆捐給“國際兒童基金會”的捐款

在去年DarkSide“玩大了”搞癱美國東部汽油網絡之后，他們迫于壓力解散了。（不過業內人士懷疑他們只是換了個馬甲）

雖然或許出發點是好的，但使用惡意軟件來勒索他人行善并不能算真正的善舉。

除了一般都是非法的之外，還容易讓他人對信息安全問題陷入恐慌。

嗯，所以：

行善道路千萬條，遵紀守法第一條。

One More Thing

調皮的網友在看到這種黑客的行為之后，還展現出了不一樣的畫風……

竟然求著被攻擊：

做一個病毒，一到下午六點就鎖死電腦，第二天9點才能使用。

文章轉自公眾號: 網絡安全編程與黑客程序員