«Шифровальщик-робингуд» требует от жертв помогать бедным в обмен на ключ дешифровки

ГлавнаяНовостиНовостиНовости, 202206Новости, 202206 → «Шифровальщик-робингуд» требует от жертв помогать бедным в обмен на ключ дешифровки
- КиТ :: Будь в СЕТИ!

В Индии выявлен шифровальщик-вымогатель, который обращается к своим жертвам с требованием стать филантропами и помогать беднякам. О реальных атаках с помощью этого шифровальщика, впрочем, ничего не известно.

Станьте филантропом, а не то...

Эксперты индийской ИБ-компании CloudSEK обнаружили шифровальщик, который требует от подвергшихся атаке делать пожертвования на гуманитарные нужды.

Вместо требования выкупа шифровальщик GoodWill предлагает в обмен на ключ дешифровки помочь нуждающимся одеждой и одеялами, опубликовав в соцсетях видеодоказательства совершения этого благого дела.

Затем от жертвы требуют накормить минимум пятерых детей из малоимущих семей в ближайшей точке фастфуда и также зафиксировать этот факт на видео. Третьим условием получения ключа дешифровки должна стать финансовая поддержка малоимущих, нуждающихся в срочной медицинской помощи.

«Помогайте тем, чья судьба тяжелее вашей, ибо в том смысл человеческого бытия», - говорится в многостраничном сообщении шифровальщика.

Интернет-акционизм?

Шифровальщик написан на .NET и использует AES-шифрование. Небольшой фрагмент кода взят, судя по всему, из исходников турецкого шифровальщика HiddenTar, однако в коде выявлен комментарий, свидетельствующий об индийском происхождении GoodWill. На это указывают и некоторые другие артефакты в коде, в частности, сетевые адреса.

После проникновения в систему он бездействует в течение 722,45 секунд, по-видимому, чтобы избежать динамического анализа. Известно так же, что вредонос пытается определить географическое положение зараженного устройства.

Исследователи заявляют, что им удалось увязать почтовый адрес, который использует «робингудствующий» шифровальщик, с некоей индийской ИТ-компанией, которая официально оказывает сервисные услуги и поставляет средства защиты данных.

При этом в публикации CloudSEK прямо говорится, что пока о том, что кто-то реально пострадал от GoodWill ничего неизвестно. По-видимому, шифровальщик был перехвачен «ловушкой» и исследован в виртуальной среде.

«Без реальных жертв сложно сказать, реальный это шифровальщик или форма интернет-акционизма, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - По описанию CloudSEK это действительно вредоносная программа со всеми атрибутами шифровальщика-вымогателя, а что там написано в требовании о выкупе, в общем-то, не так важно: насильно милосердным не будешь. В самих призывах помогать малоимущим ничего плохого нет... но не в таком контексте».

ГлавнаяНовостиНовостиНовости, 202206Новости, 202206 → «Шифровальщик-робингуд» требует от жертв помогать бедным в обмен на ключ дешифровки