Nový ransomware nutí lidi provést tři dobré skutky
1.6.2022, Jan Vítek, aktualita
Ransomware začal jako malware, jehož prostřednictvím útočníci žádali platbu za poskytnutí klíče k dešifrování dat. Později začali své útoky cílit na konkrétní firmy a žádat výkupné i za ukradená data a nyní je tu opět něco nového.
Nový ransomware s příznačným názvem GoodWill popisovaný serverem CloudSEK byl vytvořen jistou skupinou lidí, kteří dle svých slov nebaží po vlastním obohacení. Dalo by se tak namítnout, že technicky ani nejde o ransomware, když nejde o malware, který má přimět napadené nešťastníky k zaplacení výkupného za data. Ta jsou dnes v rámci ransomwarových útoků šifrována na úložištích napadené strany a/nebo ukradena. Útočníci totiž počítají s tím, že firmy se mohou prostě jen spolehnout na vlastní zálohy, ale pokud jim byla ukradena citlivá data, nemohou dělat nic jiného, než zaplatit, anebo sledovat, jak jsou tato data nabízena ke koupi jiným zájemcům a popřípadě pak rovnou zveřejněna.
Autoři GoodWill ale nežádají nic pro sebe, nýbrž pro druhé. Dešifrovací klíč tak pošlou pouze těm, kteří vykonají tři dobré skutky, které přitom musí zdokumentovat a záznam poskytnout na některé ze sociálních sítí. Jedině pak si budou moci dešifrovat svá data, která GoodWill už před zobrazením výzvy zašifroval pomocí AES.
Jenomže se tu nežádají jen tak nějaké tři dobré skutky, takže nestačí jen poslat stovku na účty tří různých charit, nebo jen rozdat dětem pár lízátek. Jde o zcela konkrétní tři skutky, z nichž první se týká obdarování lidí žijících na ulici dekami a šatstvem a povzbuzování ostatních k tomu, aby se také zapojili. Příslušné video pak musí být zveřejněno na Instagramu, Facebooku či WhatsAppu a odkaz pak odeslán mailem autorům malwaru.
Další dobrý skutek se týká nakrmení pěti dětí ze sousedství v restauraci, či spíše dle požadavků v rychlém občerstvení. Objednat si mohou, co chtějí a autoři od toho očekávají video i selfie s dětmi.
Třetí krok pak žádá, abychom šli do nemocnice a našli někoho, kdo potřebuje zaplatit náklady za léčbu. Až poté budeme moci na sociálních médiích popsat, jak jsme se díky ransomwaru stali pravými Samaritány a pak už můžeme očekávat dešifrovací klíč.
Požadavky jsou tak evidentně přizpůsobeny na míru především Američanům, přičemž dle CloudSEK vedou stopy za GoodWill do Indie, a to dle zachycených IP adres a použitých výrazech (např. error hai bhaiya). Až na to jde ale jinak o klasický ransomware, který šifruje data do souborů s příponou .gdwill.