Рансъмуер иска от жертвите добри дела, а не пари

Хакери си поставиха за цел да направят хората по-добри чрез рансъмуер
(снимка: CC0 Public Domain)

Хакерската група GoodWill разпространява рансъмуер, който – за разлика от останалите вируси от този тип – иска от жертвите не пари, а добри дела, за да освободи криптираните им данни.

Така например, на жертвите се предлага да дарят одеяла на бездомните, да нахранят гладуващи деца или да платят за лечение на бедните, като документират добрите си дела със снимки и видео и ги публикуват в социалните мрежи.

Изследването на CloudSEK е установило, че операторите на този благороден рансъмуер работят от Индия, съдейки по техните имейли и IP адреси, присвоени на Мумбай, към които вирусът се обръща. Освен това в един от редовете на кода е намерен запис на езика хинглиш, който е смес от хинди и английски.

Софтуерът е написан в .NET, компресиран с пакета за изпълними файлове UPX, а данните на заразените Windows машини се криптират с помощта на алгоритъма AES. След като зарази компютъра, GoodWill криптира файлове в различни формати и предлага на жертвата да направи три добри дела, за да ги дешифрира:

  • дарете дрехи или одеяла на „нуждаещите се на улицата”;
  • заведете пет бедни деца в заведение за бързо хранене;
  • посетeте най-близката болница и платете лечението на човек, който не може да го направи сам.

Първите две действия трябва да бъдат документирани в социалните мрежи с помощта на фото рамка, предлагана от хакерите, а последното трябва да се направи заедно със субекта на помощта, след което да се изпрати аудиозапис от разговора до операторите на вируса.

След като извършат тези три добри дела, жертвите на вируса трябва също да напишат и публикуват в социалните мрежи статия на тема „Как станахте добър човек, бидейки  жертва на рансъмуер вируса GoodWill”. Хакерите обещават, че при изпълнение на условията ще изпратят инструмент за декриптиране на данните.

Експертите по сигурност са открили връзка между GoodWill и експерименталния злонамерен софтуер HiddenTear, който е разработен и качен в GitHub от турски програмист. Според данните на CloudSEK, 91 от 1246 реда код на GoodWill съответстват на извадката от HiddenTear.

Коментар