セキュリティ研究者のMichael Gillespie氏が12月、「身代金」の代わりにセキュリティ記事を読むよう要求するランサムウェア「Koolova」を発見していたそうだ(Michael Gillespie氏のツイート、 Neowinの記事、 Bleeping Computerの記事、 The Hacker Newsの記事)。

Koolovaはランサムメッセージでランサムウェア「Jigsaw」の良い方の双子だと自己紹介し、ファイルを復号するには2本のセキュリティ記事を読む必要があると表示する。Jigsawは身代金を支払わなければ1時間おきに暗号化したファイルを削除していくというもので、Koolovaも時間内に記事を読まなければファイルが削除されるという。

読むことを要求されるのはGoogle Security Blogのブラウズ中に安全を保つ方法を解説する記事と、Bleeping ComputerのJigsawに関する記事だ。記事を読むと「Decripta i Miei File (私のファイルを復号する)」ボタンが有効になり、クリックするとC&Cサーバーに接続して復号キーがダウンロードされるとのこと。ランサムメッセージは英語だが、ボタンのラベルなどはイタリア語になっている。

ただし、Koolovaは未完成のランサムウェアとみられ、Bleeping Computerではランサムメッセージを表示させるのにローカルのhttpサーバーを調整する必要があったという。なお、被害者を「教育」するのみで、金銭を要求しないランサムウェアはKoolovaが初めてではなく、昨年6月には「EduCrypt」というランサムウェアが発見されているとのことだ。