Xakep #305. Многошаговые SQL-инъекции
Специалисты CloudSek рассказали о странном вымогателе GoodWill, который не требует у пострадавших деньги, но заставляет их совершать добрые дела в обмен на дешифрование файлов. К примеру, операторы шифровальщика велят раздать одежду бездомным или оплатить медицинские счета тем, кто нуждается в срочной медицинской помощи, но не может себе этого позволить.
По данным исследователей, GoodWill преимущественно распростирается в Индии и, судя по всему, создан в этой же стране. Вероятно, программа-вымогатель является чьим-то экспериментом, так как пока экспертам не удалось обнаружить ни одной жертвы GoodWill.
Впервые эта малварь была замечена в марте 2022 года. Известно, что GoodWill написан на .NET и, похоже, построен на базе опенсорсной малвари HiddenTear. После заражения системы он бездействует 722,45 секунд, чтобы сбить с толку динамический анализ, а также применяет функцию AES_Encrypt для шифрования с использованием AES.
После заражения GoodWill шифрует все документы, фотографии, видео, базы данных и другие важные файлы и оставляет записку, в которой жертвам предлагается выполнить три добрых дела, чтобы получить ключ для дешифрования данных. Так, операторы малвари требуют:
- пожертвовать бездомным новую одежду, записать это на видео и опубликовать в социальных сетях;
- отвести не менее пяти детей из неблагополучных семе в Dominos, Pizza Hut или KFC и накормить их, сделать фото и видео процесса и опубликовать в социальных сетях;
- оказать финансовую помощь тем, кто нуждается в срочной медицинской помощи, но не может себе этого позволить, записать весь разговор и поделиться аудиозаписью с операторами GoodWill.
После выполнения всех этих действий жертва также должна написать еще один пост в социальных сетях, рассказывающий о том «как вы превратились в доброго человека, став жертвой программы-вымогателя GoodWill».
Судя по всему, после этого операторы вымогателя проверяют все присланные жертвой медиафайлы и сообщения в социальных сетях, и если условия соблюдены, предоставляют набор для дешифрования данных, который включает в себя сам дешифратор, файл с паролями и видеоурок о том, как восстановить все важные данные.