印度黑客作恶却不图钱：勒索软件也有了劫富济贫的江湖气？

都说江湖险恶，可古往今来，江湖一直是很多人心中不变的向往。

为什么？因为江湖里的人活得漂亮。

行侠仗义，劫富济贫，除暴安良，皆是所谓侠客对善与正义的解读。

设想一下，某天，你在街上闲逛，看见一个精神小伙儿支了个路边摊，号召大家一起做好事，尽管招牌上的字稍显褪色，可良善侠义之气却未失分毫：

1、一起帮助那些无家可归的流浪汉；

2、邀请至少五个穷孩子到肯德基、必胜客等快餐店用餐；

3、为医院里需要帮助的人提供经济帮助。

乍一看，诶，是不是觉得人间值得？

稍等，换个场景你再品品。

假设你是某公司 CEO，一天清晨，你推开办公室，打开存放着诸多商业机密的电脑，可屏幕上的黑绿色调，以及一大段语言，都在残酷地告诉你：你摊上事了。

你摊上的，是一个名为 GoodWill 的勒索软件，它会加密你电脑中的文件、照片、视频、数据库以及其他重要文件，如果没有解密密钥，你就无法访问这些文件。

从 GoodWill 的中文含义“善意”能大体感受到，它与以往付费解锁文件的勒索软件不同：只要你完成三项善事，就能够拿到解密密钥。

1、帮助那些无家可归的流浪汉，给他们捐赠衣服；

2、邀请至少 5 个穷孩子到肯德基、必胜客等快餐店用餐；

3、为医院里需要帮助的人提供经济帮助。

不过，以上每一项善事，口头说做了不算，还得有证明。

对此，GoodWill 的要求是：必须有对应的照片和视频记录，还要发布至社交媒体，向大家展示“弃恶从善”的心路历程。

任务完成后，GoodWill 就会给受害者发送解密工具包，包括解密工具、密码文件，以及一个贴心的视频教程，教你如何恢复所有文件。

您瞧嘿，这个世界就是这么出其不意。

最早发现这等稀奇事的，是一家名叫 CloudSEK 的风险管理公司。一番拆解分析后，他们有了发现。

经过追踪 GoodWill 的运营商电子邮件 ID，CloudSEK 成功锁定 GoodWill 的大本营所在地：印度孟买。

这是位于印度的一家 IT 安全解决方案公司，主要提供端到端管理安全服务。

通过对这家公司活动进行分析，CloudSEK 有了更多发现。

勒索软件 GoodWill 是用 .NET 编写的，且配备了 UPX 程序包。

GoodWill 使用 AES 算法，利用 AES _ encrypt 函数进行加密。为了干扰动态分析，GoodWill 的睡眠时间被设置为 722.45 秒。

此外，GoodWill 其中的一个字符串“ GetCurrentCityAsync”，还能够检测被感染设备的地理位置。

不仅如此，CloudSEK 还发现，GoodWill 与开源勒索软件 HiddenTear 有一定的相似度，这是一个由土耳其程序员开发的程序，且 GoodWill 很可能已经获得权限，允许他们通过必要修改，快速创建出新的勒索软件。

这也许就叫做：按下葫芦浮起瓢。

疫情之下，作为一种已经不算新鲜的黑色产业，由勒索软件引发的安全事件，数量正在快速增长。

这种变化的背后，少不了两个因素。

1、产业数字化的程度日益加深

越是走在前沿的公司，数字资产所占的比重就越高，举个例子，公司利用大量的用户数据，为用户做专属推荐。

推荐的越精准，用户越觉得服务贴心，也就越离不开。

数据，已经成为越来越多企业的核心竞争力。

除了数据，行业的数字化转型，也成为了勒索软件的目标。比如说工控行业，以前，设备就是设备，智能化程度很低，电脑只起简单的辅助作用。

可智能化转型之后呢，原本封闭的环境变得开放，原本没有那么明显的漏洞，非常容易暴露在敌人眼中。

尤其是涉及民生的关键基础设施，比如水电厂，一旦被黑客要挟，后果不堪设想。

产业数字化程度越深的企业，往往经营得越好，勒索收益相对更高，于是，这些企业受网络勒索的伤也就越重。

有数据显示，全球范围内，美国是受网络勒索最严重的国家，美国企业交纳的赎金也在世界上排名第一，且遥遥领先。

倘若按国别统计，交纳赎金排第二到第十的国家，加起来也没有排第一的美国企业交得多。

尽管国内企业还没有遇到过极端案例，但随着产业数字逐渐推进，条件满足了，早晚都会发生，必须有所警惕。

2、虚拟货币的全球化

过去的绑匪，就算成功绑走人质，逃离了警方的追捕圈，收赎金也是个大问题。

怎么收钱？银行卡转账，当面交易，还是让受害人家属扔垃圾箱自己悄悄去捡？

不管哪种操作，想要绕过公安部门和金融机构的监管，难如登天。

但是，虚拟货币提供了匿名操作的可能，而且操作方便。

不需要掌握什么代码知识，也不需要钻研什么洗钱技巧，只要注册一个比特币钱包，生成一个地址，让被勒索者把币汇过来就可以了。

数据显示，2020 年和 2021 年，通过加密货币支付的赎金总额连续翻倍。

2020 年大约是 1.1 亿，到了 2021 年，增长到 3.5 亿，约占加密货币总交易金额的 7% 。

匿名又方便，虚拟货币已经成为网络勒索的必选途径。

勒索攻击是一个非常复杂的网络安全问题，归根到底，还是人和人的攻防对抗，而这个难题，很可能永远没有尽头。

参考资料：

1、GoodWill ransomware forces victims to donate to the poor and provides financial assistance to patients in need

2、Food For Files: GoodWill Ransomware demands food for the poor to decrypt locked files

3、Ransomware encrypts files, demands three good deeds to restore data

文 | 木子Yanni

嗨，这里是浅黑科技，在未来面前，我们都是孩子。

想看更多科技故事，欢迎戳→微信公众号：浅黑科技。

来源：浅黑科技