Поделиться
«Шифровальщик-робингуд» требует от жертв помогать бедным в обмен на ключ дешифровки
В Индии выявлен шифровальщик-вымогатель, который обращается к своим жертвам с требованием стать филантропами и помогать беднякам. О реальных атаках с помощью этого шифровальщика, впрочем, ничего не известно.
Станьте филантропом, а не то...
Эксперты индийской ИБ-компании CloudSEK обнаружили шифровальщик, который требует от подвергшихся атаке делать пожертвования на гуманитарные нужды.
Вместо требования выкупа шифровальщик GoodWill предлагает в обмен на ключ дешифровки помочь нуждающимся одеждой и одеялами, опубликовав в соцсетях видеодоказательства совершения этого благого дела.
Затем от жертвы требуют накормить минимум пятерых детей из малоимущих семей в ближайшей точке фастфуда и также зафиксировать этот факт на видео. Третьим условием получения ключа дешифровки должна стать финансовая поддержка малоимущих, нуждающихся в срочной медицинской помощи.
«Помогайте тем, чья судьба тяжелее вашей, ибо в том смысл человеческого бытия», — говорится в многостраничном сообщении шифровальщика.
Интернет-акционизм?
Шифровальщик написан на .NET и использует AES-шифрование. Небольшой фрагмент кода взят, судя по всему, из исходников турецкого шифровальщика HiddenTar, однако в коде выявлен комментарий, свидетельствующий об индийском происхождении GoodWill. На это указывают и некоторые другие артефакты в коде, в частности, сетевые адреса.
После проникновения в систему он бездействует в течение 722,45 секунд, по-видимому, чтобы избежать динамического анализа. Известно так же, что вредонос пытается определить географическое положение зараженного устройства.
Исследователи заявляют, что им удалось увязать почтовый адрес, который использует «робингудствующий» шифровальщик, с некоей индийской ИТ-компанией, которая официально оказывает сервисные услуги и поставляет средства защиты данных.
При этом в публикации CloudSEK прямо говорится, что пока о том, что кто-то реально пострадал от GoodWill ничего неизвестно. По-видимому, шифровальщик был перехвачен «ловушкой» и исследован в виртуальной среде.
«Без реальных жертв сложно сказать, реальный это шифровальщик или форма интернет-акционизма, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — По описанию CloudSEK это действительно вредоносная программа со всеми атрибутами шифровальщика-вымогателя, а что там написано в требовании о выкупе, в общем-то, не так важно: насильно милосердным не будешь. В самих призывах помогать малоимущим ничего плохого нет... но не в таком контексте».
Короткая ссылка
