GoodWillランサムウェア、感染した被害者に寄付と善行を強要

xguru · 2022-05-28T09:23:27+09:00

感染したPCのファイルを暗号化した後、復号キーを要求しつつ3つの社会貢献活動を行わせるホームレスに新しい服を寄付し、その様子を動画で記録してソーシャルメディアに投稿 5人の恵まれない子どもたちをドミノ・ピザ / ピザハット / KFCに連れて行って食事を買い与え、写真 / 動画で記録してソーシャルメディアに投稿緊急治療が必要だが費用を負担できない患者に金銭的支援を行い、その過程を音声で録音して自分たちに送るよう要求 GoodWillランサムウェアの分析 .NETで書かれており、UPXで圧縮されている動的解析を妨害するため722.45秒間スリープ AES_Encrypt で暗号化 GetCurrentCityAsync 関数を使って現在の都市を特定しようとする感染すると文書、写真、動画、DBなどを暗号化し、復号キーなしではアクセス不能にする復号キーを得るには、上記3つの行為を順番どおりに行うことを要求おそらくインドの誰かが、オープンソースのランサムウェアであるHiddenTearを改変したものとみられる

(cloudsek.com)

3 ポイント投稿者 xguru 2022-05-28 | 2件のコメント | WhatsAppで共有

感染したPCのファイルを暗号化した後、復号キーを要求しつつ3つの社会貢献活動を行わせる
- ホームレスに新しい服を寄付し、その様子を動画で記録してソーシャルメディアに投稿
- 5人の恵まれない子どもたちをドミノ・ピザ / ピザハット / KFCに連れて行って食事を買い与え、写真 / 動画で記録してソーシャルメディアに投稿
- 緊急治療が必要だが費用を負担できない患者に金銭的支援を行い、その過程を音声で録音して自分たちに送るよう要求
GoodWillランサムウェアの分析
- .NETで書かれており、UPXで圧縮されている
- 動的解析を妨害するため722.45秒間スリープ
- AES_Encrypt で暗号化
- GetCurrentCityAsync 関数を使って現在の都市を特定しようとする
- 感染すると文書、写真、動画、DBなどを暗号化し、復号キーなしではアクセス不能にする
- 復号キーを得るには、上記3つの行為を順番どおりに行うことを要求
- おそらくインドの誰かが、オープンソースのランサムウェアであるHiddenTearを改変したものとみられる

2件のコメント

bohblue23 2022-05-28

すごいね

hacker1415 2022-05-28

すごいね

GoodWillランサムウェア、感染した被害者に寄付と善行を強要

関連記事

2件のコメント