Ransomware-ul Petya-Mischa a revenit cu o versiune revizuită. Se bazează exclusiv pe produsul anterior, dar folosește un nume nou - Golden Eye.

Ca un ransomware tipic, noua variantă Golden Eye a fost dezlănțuită pentru a deturna calculatoarele inocente ale victimei și pentru a le îndemna să plătească. S-au descoperit că trucurile sale rău sunt aproape identice cu versiunile anterioare Petya-Mischa.

Cei mai mulți utilizatori sunt precauți, dar sunt siguri că nu ar cădea niciodată pentru o capcană setată de atacatori de malware. Dar este doar o chestiune de timp până când lovim un bump, o lovitură minoră care ar putea duce la o încălcare a securității. Apoi, toate micile semne suspecte devin evidente, dar până atunci paguba a fost deja făcută.

Deci, știința câștigării încrederii utilizatorilor prin minciuni manipulatoare și premeditate se numește Inginerie socială. Această abordare este cea care a fost folosită de mulți ani de către infractorii cibernetici pentru răspândirea ransomware-ului. Și este același lucru pe care ransomware-ul Golden Eye l-a desfășurat.

Cum funcționează Golden Eye?

Există rapoarte că malware-ul este primit, deghizat într-o aplicație de job. Se află în folderul de spam al conturilor de e-mail ale unui utilizator.

Adresa de email este intitulată „Bewerbung” care înseamnă „aplicație”. Este livrat cu două atașamente care conțin atașamente care vor fi fișiere, importante pentru mesaj. Un fișier PDF - care pare a fi un CV autentic. Și o foaie de calcul XLS (Excel) - acesta este locul în care începe modulul operandi al ransomware-ului.

Pe a doua pagină a mailului, există o fotografie a solicitantului afirmat. Se încheie cu instrucțiuni politicoase despre fișierul Excel, precizând că acesta conține materiale semnificative cu privire la cererea de lucru. Fără cerere explicită, doar o sugestie în cel mai firesc mod posibil, păstrând-o la fel de formală ca o cerere de muncă obișnuită.

Dacă victima se înșelăciune și apasă butonul „Enable Content” din fișierul excel, se declanșează o macrocomandă. După lansarea cu succes, acesta salvează șirurile de bază 64 încorporate într-un fișier executabil din folderul temp. Când fișierul este creat, se rulează un script VBA și determină procesul de criptare.

Diferențe cu Petya Mischa:

Procesul de criptare a Ochiului de Aur este puțin diferit de cel al lui Petya-Misha. Golden Eye criptează mai întâi fișierele computerului și apoi încearcă să instaleze MBR (Master Boot Record). Apoi adaugă o extensie la 8 caractere aleatoare la fiecare fișier vizat. După aceasta modifică procesul de pornire al sistemului, ceea ce face computerul inutil prin restricționarea accesului utilizatorului.

Apoi arată o notă de răscumpărare amenințătoare și repornește forțat sistemul. Se afișează un ecran fals CHKDSK care funcționează ca și cum ar repara unele probleme cu hard disk-ul.

Apoi, un ecran de craniu și oase încrucișate, făcute de arta dramatică ASCII. Pentru a vă asigura că nu vă lipsește, vă solicită să apăsați o tastă. Apoi vi se oferă instrucțiuni explicite despre cum să plătiți suma solicitată.

Pentru a recupera fișierele, va trebui să introduceți cheia personală pe un portal furnizat. Pentru a-l accesa, va trebui să plătiți 1.33284506 bitcoins, egală cu 1019 USD.

Ce este nefericit este, nu există încă un instrument lansat pentru acest ransomware care ar putea decripta algoritmul de criptare.