Ransomware Petya-Mischa powrócił z odnowioną wersją. Opiera się wyłącznie na poprzednim produkcie, ale używa zupełnie nowej nazwy - Golden Eye.

Podobnie jak typowe oprogramowanie ransomware, nowy wariant Golden Eye został uwolniony w celu przejęcia komputerów niewinnej ofiary i nakłonienia ich do zapłaty. Jego złośliwe sztuczki są prawie identyczne z poprzednimi wersjami Petya-Mischa.

Większość użytkowników jest ostrożna i pewna, że ​​prawie nigdy nie wpadliby w pułapkę zastawioną przez osoby atakujące złośliwe oprogramowanie. Ale to tylko kwestia czasu, zanim uderzymy w guz, drobny guz, który może doprowadzić do naruszenia bezpieczeństwa. Wtedy wszystkie małe podejrzane znaki stają się oczywiste, ale do tego czasu szkody zostały już wyrządzone.

Nauka o zdobywaniu zaufania użytkowników poprzez manipulacyjne i zaplanowane kłamstwa nazywa się inżynierią społeczną. Jest to podejście, które od wielu lat jest wykorzystywane przez cyberprzestępców do rozprzestrzeniania oprogramowania ransomware. I to ten sam, który wdrożył oprogramowanie ransomware Golden Eye.

Jak działa Golden Eye?

Pojawiają się doniesienia o tym, że złośliwe oprogramowanie zostało odebrane jako praca. Znajduje się w folderze spamu kont e-mail użytkownika.

Wiadomość e-mail nosi tytuł „Bewerbung”, co oznacza „aplikacja”. Zawiera dwa załączniki, które zawierają załączniki rzekomo będące plikami, ważne dla wiadomości. Plik PDF - wygląda na autentycznie wyglądające CV. I XLS (arkusz kalkulacyjny Excel) - tutaj rozpoczyna się modus operandi ransomware.

Na drugiej stronie listu znajduje się zdjęcie zapewnionego wnioskodawcy. Kończy się na uprzejmych instrukcjach dotyczących pliku programu Excel, stwierdzając, że zawiera znaczący materiał dotyczący podania o pracę. Brak wyraźnego zapotrzebowania, tylko sugestia w najbardziej naturalny możliwy sposób, zachowująca formalność jak zwykłe podanie o pracę.

Jeśli ofiara zakochuje się w oszustwie i naciśnie przycisk „Włącz zawartość” w pliku programu Excel, uruchamiane jest makro. Po pomyślnym uruchomieniu zapisuje osadzone ciągi base64 w pliku wykonywalnym w folderze tymczasowym. Po utworzeniu pliku uruchamiany jest skrypt VBA, który uruchamia proces szyfrowania.

Różnice w stosunku do Petya Mischa:

Proces szyfrowania w Golden Eye różni się nieco od Petya-Mishy. Golden Eye najpierw szyfruje pliki komputera, a następnie próbuje zainstalować MBR (Master Boot Record). Następnie dołącza losowe 8-znakowe rozszerzenie do każdego pliku docelowego. Następnie modyfikuje proces uruchamiania systemu, czyniąc komputer bezużytecznym, ograniczając dostęp użytkownika.

Następnie wyświetla notatkę z groźbą okupu i wymusza ponowne uruchomienie systemu. Pojawia się fałszywy ekran CHKDSK, który działa tak, jakby naprawiał niektóre problemy z dyskiem twardym.

Następnie na ekranie pojawia się czaszka i krzyżowa kość, wykonane przez dramatyczną sztukę ASCII. Aby upewnić się, że go nie przegapisz, poprosi Cię o naciśnięcie klawisza. Następnie otrzymasz wyraźne instrukcje dotyczące sposobu zapłaty żądanej kwoty.

Aby odzyskać pliki, musisz wprowadzić swój klucz osobisty do udostępnionego portalu. Aby uzyskać do niego dostęp, będziesz musiał zapłacić 1.33284506 bitcoinów, co odpowiada 1019 $.

Niestety, nie wydano jeszcze żadnego narzędzia do ransomware, które mogłoby odszyfrować jego algorytm szyfrowania.